Fortigate trusted hosts only(受信任主機)

1.要啟用只有受信任主機才能訪問到管理頁面，要全部帳號都要啟用"Restrict this Administrator Login from Trusted Hosts Only"。

2.如果只有部分帳號有啟用，會變成可以訪問管理頁，但只有受信任的host與帳號雙方都有符合到才能登入。

3.會影響到Ping介面的功能，就算在interface上有開通ping，但是發送ping的主機沒有落在受信任主機內，這樣會無法ping到介面。

4.如果要讓特定hosts才能訪問與登入到web管理，又想讓內部的人都可以ping到fortigate的interface，就要開啟一個only-read的帳號，only-read帳號要信任內部的網段。

FortiAP & Fortigate 設定 第二篇

會有這一篇是後來工作需要，上一篇太過於簡略XD。

這次主要目的就是當wireless controller的Fortigate只有一個port來連接到原本網路環境。

底下是LAB架構圖

1.Fortigate wireless controller設定

a.設定與L3 switch的介面，需勾選CAPWAP。此介面的DHCP Server是給FortiAP用的，

   如果跨網段就要用cli進入dhcp server，加入set option 138 '16進制的IP(controller IP)'。

 b.設定預設路由，目的地為連接的對點IP。

 c.FortiAP接上switch，設定無誤的話就可以看到。注意，switch接AP的port與fortigate同一個VLAN就好。因為client流量是透過fortiAP，進到tunnel，在回到fortigate。

 d.建立SSID，這裡的dhcp是指client拿到的IP。

 e.建立FortiAP profile，將剛剛建立好的SSID放進去。

 f.建立policy，SSID介面到實體介面。這邊要注意，如果不做NAT，那L3 switch要加入client網段路由回去到fortigate wireless controller。

2.L3 switch

a.因為我環境有另外架設DHCP server給client IP，所以我的AP 管理網段的interface vlan要加入ip help-address，讓client可以跟dhcp server要到IP。

b.還有就是，因為我的SSID到實體介面沒有設定NAT，所以在L3 switch上，得增加client網段回去的路由。

c.client流量是透過tunnel回到fortigate wireless controller身上。所以接AP的switch port只要access就好，不用trunk。

slave and master have different hdisk status. Cannot work with HA master. Shutdown the box!!

最近遇到個問題。
兩台一模一樣的FG60C。
HA建立不起來。
console 訊息是：slave and master have different hdisk status. Cannot work with HA master. Shutdown the box!!

後來兩台FG都下：

execute formatlogdisk

重開後就OK了

關於Fortigate的virtual ip

如上圖，當你在outside ping 100.100.100.253的時候，會不會ping到呢？
答案是會的。



因為Virtual IP需要NAT後才會轉到內部server上面。
所以沒有policy去match到的話，就不會生效。

所以上圖才不會走第一條規則阻擋，而是跑到第二條規則通過。

如果要那第一條規則阻擋到virtual IP，需要再第一條規則下指令

 set match-vip enable

這樣第一條規則也會對VIP生效了。