請問FortiGate 100D 無法連結對外固定IP，也無法使用VPN登入

vpn

vamos168 2015-12-04 09:09:54 ‧ 4593 瀏覽

請問FortiGate 100D 無法連結對外固定IP，也無法使用VPN登入
下列網址，我在公司外面都無法連結，但在公司內部都沒有問題
https://118.163.YYY.XXX/remote/login?lang=en
https://118.163.YYY.XXX:4433/login?redir=%2findex

連用VPN軟體，撥入也出現找不到服務，但在內網可以順利撥入

100D 有出現下面這排紅字，連原廠客服都處理不了，讓人不解
Default built-in certificate

You are using a default built-in certificate, which will not be able to verify your server's domain name (your users will see a warning). It is recommended to purchase a certificate for your domain and upload it for use.

zyman2008 iT邦大師 6 級 ‧ 2015-12-06 12:45:53 檢舉

雖然從目前您提供的問題描述中,感覺可能和policy的設定有些關係.
但還是需要多知道一些基本資訊,才方便邦友們判斷和釐清您遇到的問題.
1.Fortigate OS版本?
2.用戶端連線是用哪種OS? 哪種瀏覽器? 瀏覽器版本?
3.這個連線有問題的是哪種內部服務? (ex.網站, RDP, SSH,等)
4.這個連接有問題的服務,是透過Web Mode方式還是Tunnel Mode方式?(如果您知道這兩種mode)
5.提到的錯誤訊息,是在什麼畫面上看到的? 管理者介面? 還是用戶端連線SSL VPN時?
Default built-in certificate
You are using a default built-in certificate, which will not be able to verify your server's domain name (your users will see a warning). It is recommended to purchase a certificate for your domain and upload it for use.

carefree iT邦新手 5 級 ‧ 2015-12-10 10:20:40 檢舉

對應的port有開啟嗎?

cly iT邦新手 5 級 ‧ 2016-01-05 15:21:09 檢舉

1. 請教原 po 是從什麼版本號碼升級到什麼版本號碼? 是否有依原廠 release note 的升級路徑升級?
2. 「Default built-in certificate」那一段是 FortiOS 5.x 以後內建的憑證, 會警告你用這個預設憑證會出現不信任的憑證的訊息, 但是還是可以使用妨.

Fortinet 的設備, 照著原廠的升級路徑升級, 一向沒什麼問題.
原 po 的症狀很像是沒有依 upgrade path 升級後掉設定的現像.
設定不會全部跑掉, 但是也不會全部都在.

下次升級前, 請先備份設定檔. 如此一來, 即使要降版回去, 也能比較快復原.

不想用 Fortinet 的話...
再便宜大抵就是 cyberoam 跟一些國內的廠牌, 往上就是 CheckPoint, PaloAlto 之流.
只能說一分前一分貨

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

macliu

iT邦研究生 5 級 ‧ 2015-12-05 13:02:59

最佳解答

設備沒問題
有問題的是你，賣你服務的廠商
應概沒找到真正的原廠吧

回應 2
分享
檢舉

vamos168 iT邦新手 4 級 ‧ 2015-12-05 13:10:22 檢舉

廠商回覆以後都不要更新韌體，原廠每年都要收費
確是韌體更新後，就掛了
韌體沒經過確認，卻放出更新
這不是原廠的問題嗎

mytiny iT邦超人 1 級 ‧ 2015-12-05 17:50:03 檢舉

廠商回覆以後都不要更新韌體，原廠每年都要收費

版大您日後都不需要硬體保固嗎?萬一故障了怎麼辦?
所以版大不知道硬體保固裡包含了OS版本更新的費用
還包含了IP地理資料庫與BYOD資料庫更新
也不知道定期更新OS是那個廠商的責任?
所以這廠商以後這部分工作都完全是省略掉嗎?

說到韌體更新
那個廠商有按官網規定的階段升級嗎? 如下：
http://docs.fortinet.com/uploaded/files/1965/Supported%20Upgrade%20Paths%20for%20FortiOS%205.2.4.pdf
有報告版大有個東西叫Release Notes嗎? 如下
http://docs.fortinet.com/fortigate/release-information
裡面有說明每個版本解決的Bug跟尚待解決的部分?
這樣好選定適合貴公司適合使用的OS版本嗎?
還是閉著眼睛不管，先升級了再說，然後出事都推給原廠

小弟再次善意的呼籲，買資安設備一定要把技術買回去
當下省了預算，卻替日後埋下不少的危機，值得嗎?
再者，就如買了十項全能的設備，卻只會用一項
那何不乾脆少花點錢，直接買顆路由器好了
還省的花一堆時間在那邊砍價呢?不是嗎?

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2015-12-04 21:29:12

這位版大，我真的很懷疑有多少人看得懂你描述的問題
按這樣無厘頭的描述，原廠"客服"怎麼會處理的了
更何況，原廠一定會問你當初賣設備的廠商在哪呢?
如果你貪便宜買了設備卻沒買廠商的技術服務
原廠要怎麼知道你買的不是水貨，又怎能服務你呢?
從另個角度說，版大不跟廠商買服務卻要原廠服務你
這樣既不合理，也對不起那些付費買技術服務的客戶

建議版大找賣貨的廠商到現場去看看狀況吧
"外面都沒法用，裡面都沒問題"
這個沒去現場看情況，很難知道你設了什麼東西

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

vamos168 iT邦新手 4 級 ‧ 2015-12-04 22:06:33 檢舉

廠商找原廠來處理，廠商一年收六萬元服務費
結果台灣原廠很兩光，沒辦法處理
目前全部砍掉重練，降版處理
以後不敢買這廠牌了，印象很差
也不敢再升級韌體了

mytiny iT邦超人 1 級 ‧ 2015-12-04 23:43:28 檢舉

小弟合理認為版大的說法有問題
一台FG-100D廠商一年收六萬元服務費
你廠商的工作只是找原廠到場來服務您???
這樣是您當初找廠商時沒有評鑑廠商的資質
還是你完全沒有能力去評鑑廠商

一台FG-100D的服務費幾乎快到它的售價3/4
(網搜參考價http://www.pcstore.com.tw/point/S194971.htm)
以一台屬於是低階設備的FG-100D
好奇版大是要廠商做什麼樣的服務?
有沒有雙方的紙本約定?還是要無所不包?
來的人到底是不是原廠工程師???

如果版大買的是正常管道設備
一定會需要去註冊設備序號，可以看到
即便是本地原廠工程師不能解決的問題
也可以開ticket，global一定會有回應解決
按網上版大以往紀錄主觀認定品牌本就不是此產品
因此之印象好壞，小弟無從置啄
但評論技術服務人員，切勿無的放矢，需有佐證
要是自身操做錯誤而怪罪於設備或技術人員
就不適合發表負面評論了

cmwang iT邦大師 1 級 ‧ 2015-12-05 07:15:06 檢舉

鵝現在混的地方是搞mail的,有個金融業的客戶網路架構混亂就算了,每次有啥狀況就只會來盧鵝,鵝連進去看發現小mail是ok的,大mail全都卡在send queue了,很明顯是FW/IDS亂濾一通(TCP的Ack相關問題),鵝請他把鵝的mail轉給FW/IDS的廠商,FW/IDS的人連看都沒看就說他的設備沒問題(鵝已經好好說了,應該是TCP的Ack相關問題),搞到鵝發火,直接把server端sniffer到一坨有問題的traffic丟給他,他只好摸摸鼻子去幹活,不過那個臉之臭的(應該說是巴不得把鵝吃了),鵝很想對user說你們FW/IDS的MA也甭簽了,乾脆付consultant fee給鵝還比較實在....

vamos168 iT邦新手 4 級 ‧ 2015-12-05 13:13:23 檢舉

六萬不是只有這台設備
伺服器，VM,防火牆...等，幾十台
我只是不懂，為什麼更新韌體之後，要全部砍掉重練
才能恢復正常

mytiny iT邦超人 1 級 ‧ 2015-12-05 17:46:22 檢舉

等等...版大...
六萬元要做幾十台設備???
貴公司會不會有點太兩極化了!!!
稍微有點專業認證的服務做幾十台決不會只收這樣價格。
難怪那個廠商會跟你說，更新硬體後，要砍掉重練
連最基本Fortigate有兩個開機區塊都不知道嗎?
升級只會改變另一個區塊，會保留原本開機區塊
要是發現錯誤，只要下CLI指令，然後重開機
就立刻可以回復到原來的系統版本，且設定不變
這麼簡單幾分鐘就可以完成的事
這樣版大要說廠商找來的是原廠
小弟合理懷疑肯定您被忽悠了...
搞主機跟搞網路(特別是資安)真的是不同的領域
麻煩下次簽維護時，請廠商拿出技術認證證明資料
好歹對公司有些保障