Draytek To Fortigat...
 
Bildirimler
Hepsini Temizle

Draytek To Fortigate hk.  

  RSS
Erkan BÜYÜKBAYRAKTAROĞLU
(@erkanbbayraktaroglu)
Üye

Merhaba;

Uzun zamandır bir türlü çözemediğim sıkıntımı sizlerle paylaşmak istiyorum,

Şubemde Draytek Vigor 2830 cihazım var, Merkezimde ise Fortigate 110C var, Draytek modem arayüzünden gerekli Lan to Lan ayarları
yapılandırılıp fortigate ile sorunsuz haberleştirebiliyorum, ancak draytek
cihazımı merkezim üzerinden internete çıkartamıyorum, konuyla ilgili
yapılandırmalarım aşağıda linkte detaylı olarak mevcuttur. Yardımlarınızı rica ederim.

Teşekkürler

İyi Çalışmalar

https://drive.google.com/file/d/0B3CHTeOo7mSbYmYzV0U4SjlRbEE/edit?usp=sharing

Alıntı
Gönderildi : 19/04/2014 13:28
Abdullah Şimşek
(@AbdullahSimsek)
Üye

 fortigate lokasyonunun upload miktarınca draytek lokasyonu internete çıkar. yani pek tavsiye edilen bir durum olmamakla birlikte; 

192.168.1.0/24  to  ALL şeklinde kuralı draytek üzerinde tanımlanır ve tüm trafik tunnelden karşı lokasyona girmesi sağlanır. Ardından fortinet üzerinde WAN to WAN policy route yazarak trafiği tekrar dışarı yönlendirdiğinizde internet çıkışı sağlanmış olur. 

CevapAlıntı
Gönderildi : 19/04/2014 15:01
Erkan BÜYÜKBAYRAKTAROĞLU
(@erkanbbayraktaroglu)
Üye

[quote user="Abdullah Şimşek"]

 fortigate lokasyonunun upload miktarınca draytek lokasyonu internete çıkar. yani pek tavsiye edilen bir durum olmamakla birlikte; 

192.168.1.0/24  to  ALL şeklinde kuralı draytek üzerinde tanımlanır ve tüm trafik tunnelden karşı lokasyona girmesi sağlanır. Ardından fortinet üzerinde WAN to WAN policy route yazarak trafiği tekrar dışarı yönlendirdiğinizde internet çıkışı sağlanmış olur. 

[/quote]

Hocam Cevabınız için teşekkür ederim, Merkezimde 15Mb Metro Ethernet bulunuyor, Upload konusunda sorun olacağını sanmıyorum, Belirtmiş olduğunuz policy route aşağıdaki gibi girişi yapılmış durumda, bu konuyla ilgili olarak ise Fortigate tarafından destek almıştım.

Policy Route 

 

Policy Route Detay

CevapAlıntı
Gönderildi : 19/04/2014 15:11
Abdullah Şimşek
(@AbdullahSimsek)
Üye

Draytek lokasyonunda bir trafik başlatıp fortigate üzerinde bu trafiğin gelip gelmediğini veya gelen paketlerin ne durumda olduğunu izlemekte yarar var. 

Bunun için fortigate üzerinde sniffing yapabilirsiniz.

ilgili döküman:

http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_ts_sniffing_advanced.html

 iyi çalışmalar. 

CevapAlıntı
Gönderildi : 19/04/2014 15:37
Erkan BÜYÜKBAYRAKTAROĞLU
(@erkanbbayraktaroglu)
Üye

[quote user="Abdullah Şimşek"]

Draytek lokasyonunda bir trafik başlatıp fortigate üzerinde bu trafiğin gelip gelmediğini veya gelen paketlerin ne durumda olduğunu izlemekte yarar var. 

Bunun için fortigate üzerinde sniffing yapabilirsiniz.

ilgili döküman:

http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_ts_sniffing_advanced.html

 iyi çalışmalar. 

[/quote]

Hocam Merhaba;

Trafiği başlattığım anda, IP-Sec Monitor bölümünden takip ettiğimde gelen ve giden paketler hızla yükseliyor, bu demektir ki veri akışı var, Aynı zamanda Log&Report Bölümünden Forward Traffic altından baktığım zaman şubemin bana istekleri geliyor, lakin nete çıkış yok, belirttiğim gibi paylaştığım klasörlerime rahatlıkla erişebiliyorum, hatta kendi bilgisayarımdan şubemdeki modeme local IP si üzerinden sorunsuz erişebiliyorum, tek sıkıntı interneti yönlendirdiğim zaman şubemde nete çıkış yok hiçbir şekilde.

CevapAlıntı
Gönderildi : 19/04/2014 16:09
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

[quote user="Erkan BUYUKBAYRAKTAROGLU"][quote user="Abdullah Şimşek"]

Draytek lokasyonunda bir trafik başlatıp fortigate üzerinde bu trafiğin gelip gelmediğini veya gelen paketlerin ne durumda olduğunu izlemekte yarar var. 

Bunun için fortigate üzerinde sniffing yapabilirsiniz.

ilgili döküman:

http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_ts_sniffing_advanced.html

 iyi çalışmalar. 

[/quote]

Hocam Merhaba;

Trafiği başlattığım anda, IP-Sec Monitor bölümünden takip ettiğimde gelen ve giden paketler hızla yükseliyor, bu demektir ki veri akışı var, Aynı zamanda Log&Report Bölümünden Forward Traffic altından baktığım zaman şubemin bana istekleri geliyor, lakin nete çıkış yok, belirttiğim gibi paylaştığım klasörlerime rahatlıkla erişebiliyorum, hatta kendi bilgisayarımdan şubemdeki modeme local IP si üzerinden sorunsuz erişebiliyorum, tek sıkıntı interneti yönlendirdiğim zaman şubemde nete çıkış yok hiçbir şekilde.

[/quote]

 

Fortigate Linux/BSD tabanlı olduğu için VPN routing yapamaz lakin DrayTek tarafında bir çözm var. Fortigate tarafında local subneti 0.0.0.0/0 olarak ayarlayın Draytek tarafında remote subneti 0.0.0.0 maskını 0.0.0.0 olarak ayarlayın sonra policy based routing kısmında trafiğin vpn gitmes için bir kural yazın bu durumda bir nevi süper subneting yapmış olursunuz trafik Fortigate üzerine akacaktır sonra Forti üzerinden bir NAT kuralı yeterli olur.

CevapAlıntı
Gönderildi : 20/04/2014 00:17
Erkan BÜYÜKBAYRAKTAROĞLU
(@erkanbbayraktaroglu)
Üye

[quote user="Ertan ERBEK"][quote user="Erkan BUYUKBAYRAKTAROGLU"][quote user="Abdullah Şimşek"]

Draytek lokasyonunda bir trafik başlatıp fortigate üzerinde bu trafiğin gelip gelmediğini veya gelen paketlerin ne durumda olduğunu izlemekte yarar var. 

Bunun için fortigate üzerinde sniffing yapabilirsiniz.

ilgili döküman:

http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_ts_sniffing_advanced.html

 iyi çalışmalar. 

[/quote]

Hocam Merhaba;

Trafiği başlattığım anda, IP-Sec Monitor bölümünden takip ettiğimde gelen ve giden paketler hızla yükseliyor, bu demektir ki veri akışı var, Aynı zamanda Log&Report Bölümünden Forward Traffic altından baktığım zaman şubemin bana istekleri geliyor, lakin nete çıkış yok, belirttiğim gibi paylaştığım klasörlerime rahatlıkla erişebiliyorum, hatta kendi bilgisayarımdan şubemdeki modeme local IP si üzerinden sorunsuz erişebiliyorum, tek sıkıntı interneti yönlendirdiğim zaman şubemde nete çıkış yok hiçbir şekilde.

[/quote]

 

Fortigate Linux/BSD tabanlı olduğu için VPN routing yapamaz lakin DrayTek tarafında bir çözm var. Fortigate tarafında local subneti 0.0.0.0/0 olarak ayarlayın Draytek tarafında remote subneti 0.0.0.0 maskını 0.0.0.0 olarak ayarlayın sonra policy based routing kısmında trafiğin vpn gitmes için bir kural yazın bu durumda bir nevi süper subneting yapmış olursunuz trafik Fortigate üzerine akacaktır sonra Forti üzerinden bir NAT kuralı yeterli olur.

[/quote]

Ertan Hocam Merhaba;

Belirtmiş olduğunuz bilgileri destek hattındaki arkadaşlarda vermişti ancak ben forti tarafında karşı lokasyonumun IP adres bilgilerini kaydederken 0.0.0.0/0 yaptım, draytek tarafında da belirttiğiniz gibi remote bilgilerini girişi yaptığımda her iki tarafta da network internete çıkamıyor, sebebi nedir anlamadım, bende yaptığım işlemi iptal ettim.

CevapAlıntı
Gönderildi : 21/04/2014 12:25
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

Forti tarafında karşı lokasyon değil local lokasyonu 0.0.0.0 olarak tanımlayıp DrayTek tarafında karşı lokasyonu 0.0.0.0 olarak tanımlayacaksın.

CevapAlıntı
Gönderildi : 21/04/2014 12:53
Erkan BÜYÜKBAYRAKTAROĞLU
(@erkanbbayraktaroglu)
Üye

[quote user="Ertan ERBEK"]Forti tarafında karşı lokasyon değil local lokasyonu 0.0.0.0 olarak tanımlayıp DrayTek tarafında karşı lokasyonu 0.0.0.0 olarak tanımlayacaksın.
[/quote]

Onuda şimdi denedim hocam maalesef olmuyor 🙁

CevapAlıntı
Gönderildi : 21/04/2014 14:36
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

[quote user="Erkan BUYUKBAYRAKTAROGLU"]

[quote user="Ertan ERBEK"]Forti tarafında karşı lokasyon değil local lokasyonu 0.0.0.0 olarak tanımlayıp DrayTek tarafında karşı lokasyonu 0.0.0.0 olarak tanımlayacaksın.
[/quote]

Onuda şimdi denedim hocam maalesef olmuyor 🙁

[/quote]

 

VPN bğlantısı sağlandı mı, subnetleri o şekilde ayarlayınca.

CevapAlıntı
Gönderildi : 21/04/2014 16:12
Erkan BÜYÜKBAYRAKTAROĞLU
(@erkanbbayraktaroglu)
Üye

[quote user="Ertan ERBEK"][quote user="Erkan BUYUKBAYRAKTAROGLU"]

[quote user="Ertan ERBEK"]Forti tarafında karşı lokasyon değil local lokasyonu 0.0.0.0 olarak tanımlayıp DrayTek tarafında karşı lokasyonu 0.0.0.0 olarak tanımlayacaksın.
[/quote]

Onuda şimdi denedim hocam maalesef olmuyor 🙁

[/quote]

 

VPN bğlantısı sağlandı mı, subnetleri o şekilde ayarlayınca.

[/quote]

Yok Hocam, down görünüyor, VPN bağlantısı sağlanamıyor, eski haline getirdiğim zamanda ise sorunsuz kullanılabiliyor.

CevapAlıntı
Gönderildi : 21/04/2014 17:31
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

Subnet ayarlarını kontrol etmelisin bu şekilde onlarca yer bağladık daha önce.

CevapAlıntı
Gönderildi : 21/04/2014 17:51
Paylaş: