2018年2月14日 星期三

Asymmetric routing 非對稱路由

config system settings
set asymroute enable
end
有vdom狀況下
config vdom
edit <vdom_name>
config system settings
set asymroute enable
end
end

If you enable asymmetric routing, antivirus and intrusion prevention systems will not be effective. Your FortiGate unit will be unaware of connections and treat each packet individually. It will become a stateless firewall.

http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-networking-54/Interfaces/VLANs/Asymmetric%20routing.htm



2018年1月7日 星期日

Fortigate Application control



signature檢查流量時,Port也是其中的選項之一。





所以當程式改變預設使用的Port的時候,Fortiguard提供的signature就會無法識別出來。



2018年1月4日 星期四

cisco switch or router記錄登入登出

archive
log config
logging enable
notify syslog contenttype plaintext
hidekeys
logging on
logging 192.168.1.1
login block-for 60 attempts 3 within 60
login on-failure log every 1
login on-success log every 1

2017年12月18日 星期一

Fortigate interface ping不到

服務都正常,但是從core switch去ping對點的fortigate interface,就是ping不到。
不管我core switch帶哪個source ip都一樣。

fortigate抓封包看有接收到,但fortigate就是沒回。

後來爬文爬到下面這篇KB。

http://kb.fortinet.com/kb/documentLink.do?externalID=10876


原來是有啟用thrust host,導致thrust IP以外的IP都沒辦法ping到......。

解決方式就是額外創建一個帳號,不設定thrust IP(或是設定成可以ping過去的網段)。
再將使用者權限調整成最低。

2017年11月6日 星期一

Cisco L2 Bridging Across an L3 Network(L2TPv3,GRE)



R7設定
pseudowire-class test
 encapsulation l2tpv3
 ip local interface Ethernet0/0

interface Ethernet0/1
 no ip address
 xconnect 1.1.1.2 1 encapsulation l2tpv3 pw-class test

R9設定
pseudowire-class test1111
 encapsulation l2tpv3
 ip local interface Ethernet0/0
interface Ethernet0/1
 no ip address
 xconnect 1.1.1.1 1 encapsulation l2tpv3 pw-class test1111

在R7與R9輸入show xconnect all
Legend:    XC ST=Xconnect State  S1=Segment1 State  S2=Segment2 State
  UP=Up       DN=Down            AD=Admin Down      IA=Inactive
  SB=Standby  HS=Hot Standby     RV=Recovering      NH=No Hardware

XC ST  Segment 1                         S1 Segment 2                         S2
------+---------------------------------+--+---------------------------------+--
UP pri   ac Et0/1:4(Ethernet)            UP l2tp 1.1.1.2:1                    UP

Legend:    XC ST=Xconnect State  S1=Segment1 State  S2=Segment2 State
  UP=Up       DN=Down            AD=Admin Down      IA=Inactive
  SB=Standby  HS=Hot Standby     RV=Recovering      NH=No Hardware

XC ST  Segment 1                         S1 Segment 2                         S2
------+---------------------------------+--+---------------------------------+--
UP pri   ac Et0/1:4(Ethernet)            UP l2tp 1.1.1.1:1                    UP

以及在R7與R9輸入show L2tun tunnel all


L2TP Tunnel Information Total tunnels 1 sessions 1

Tunnel id 1977738540 is up, remote id is 1914104780, 1 active sessions
  Remotely initiated tunnel
  Tunnel state is established, time since change 00:09:43
  Tunnel transport is IP  (115)
  Remote tunnel name is Router
    Internet Address 1.1.1.2, port 0
  Local tunnel name is Router
    Internet Address 1.1.1.1, port 0
  L2TP class for tunnel is l2tp_default_class
  Counters, taking last clear into account:
    81 packets sent, 81 received
    8795 bytes sent, 8795 received
    Last clearing of counters never
  Counters, ignoring last clear:
    81 packets sent, 81 received
    8795 bytes sent, 8795 received
  Control Ns 12, Nr 5
  Local RWS 1024 (default), Remote RWS 1024
  Control channel Congestion Control is disabled
  Tunnel PMTU checking disabled
  Retransmission time 1, max 1 seconds
  Unsent queuesize 0, max 0
  Resend queuesize 0, max 1
  Total resends 0, ZLB ACKs sent 3
  Total out-of-order dropped pkts 0
  Total out-of-order reorder pkts 0
  Total peer authentication failures 0
  Current no session pak queue check 0 of 5
  Retransmit time distribution: 0 0 0 0 0 0 0 0 0
  Control message authentication is disabled

底下R8與R10就可以互通了。

需要注意→範例在R7 interface下xconnect指令,R9就一樣要在interface。
如果R7是使用vlan interface,那R9一樣要用vlan interface,也就是兩邊的interface type要一樣。


參考連結
https://www.byteworks.com/blog/layer-2-extensibility-options-for-business-networks/
https://www.cisco.com/c/zh_cn/support/docs/ip/layer-two-tunnel-protocol-l2tp/116266-configure-l2-00.html
https://www.cisco.com/c/en/us/td/docs/ios/12_0s/feature/guide/l2tpv325.html

Fortigate HA Active-standby腳色切換

Fortigate HA Active-standby腳色切換。
除了將其中一台拔port(有監控的介面),或是關機(重開)。
還可以在Active那台輸入:
diag sys ha reset-uptime

這樣原本Active那台的ha uptime就會被reset,變成比standby的那台低。
腳色就會切換。

可參考底下原廠的圖

2017年10月13日 星期五

Fortigate Virtual ip(VIP)注意事項

底下是原本的設定


原本狀況去ping 192.168.154.254 or 2.2.2.1(模擬外網)都正常。

後來有需求說要從其他的內網(r4之後的網路)要連到Fortigate port1的10.20.20.x/24網段。

所以我就新增VIP與Policy如下圖


然後就發現到外網就斷了。
sniffer發現有去無回

debug看被NAT成VIP的IP了

詢問前輩,問題就出在VIP在建立的時候我選擇Any,這樣是不正確的。
後來就改成只會在Port2出現後就正常了。

VIP 一定match VIP 來進行
如果在建立VIP時選擇any,表示這VIP都可以在任何interface都生效。
就有可能導致source NAT時帶的是VIP的IP,但這IP不是在該介面身上,導致防火牆sniffer有去無回的狀況。