FortiOS 設定疑問

網路架構網路管理網路

jim_rk 2019-08-30 15:59:43 ‧ 2588 瀏覽

分享至

經過這幾天各位大大的解答
已經初步了解何謂FortiOS的系統只是目前還是對詳細設定不瞭解
目前想法是這樣的見(圖一) 請問這想法有需要改進的地方嗎? 中華是非固定制
切網段的方式要用什麼目前還不懂我目前用這種方式見(圖三) 請問有改進的空間嗎?
DNS部分是用見(圖四)
如還有可改的地方歡迎各位大大指點小萌新敬上麻煩各位大大了
(圖一)

(圖二)

(圖三)

(圖四)

看更多先前的討論...收起先前的討論...

hsiang11 iT邦好手 1 級 ‧ 2019-08-30 17:20:28 檢舉

你的internal要拆開變成每個port獨立
後面才可以做出變化
NAS跟Server還要在另外撥號上中華這太過離奇了除非你中華是非固定制
不然以一般6 ip 都把ip輸入到政策裡面的ip pool
就可以指定到用哪個IP連外了

jim_rk iT邦新手 5 級 ‧ 2019-08-30 17:32:44 檢舉

我中華是非固定的QAQ

補覺鳴詩 iT邦高手 1 級 ‧ 2019-08-30 17:33:10 檢舉

60D 沒記錯的話 PPPOE 效能很差，所以撥號要給中華的小烏龜
另外撥固 IP 就好了，後面 NAS 跟 server 靠 policy 設定
凱擘那邊機房網路設定我不清楚，但依你的需求你應該也要走 NAT mode

jim_rk iT邦新手 5 級 ‧ 2019-08-30 17:36:06 檢舉

我用policy導向PC---->凱擘開NAT 全部ALL 會變成抓不到DNS 上不了網 DNS是照上圖四並把凱擘強制DNS關閉

補覺鳴詩 iT邦高手 1 級 ‧ 2019-08-30 17:48:30 檢舉

internal 要先拆靜態路由要設定 policy 也要做
有中華有凱擘有要做 WAN Link Load Balancing ?

jim_rk iT邦新手 5 級 ‧ 2019-08-30 17:54:40 檢舉

目前沒考慮做 WAN Link Load Balancing
internal 都拆出來了靜態路由的部分要如何設定不是很懂
policy的部分目前基礎懂了基本能連上網詳細設定想等其他用好
現階段先連上網就已經心無懸念了

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

mytiny

iT邦超人 1 級 ‧ 2019-08-30 18:59:50

最佳解答

根據樓主的圖一，能夠明白幾分樓主的心思
在下做幾點建議：

Fortigate一定要做Route mode，且改flow為proxy
把所有內網的埠，全部打成獨立port口
ASUS AP改成bridge模式，放到FG-60D內網某PORT
強烈建議採用SD-WAN(那個WAN Link Load Balancing已經過時了，別用)
凱擘外線一樣可以用NAT，路由模式，第二DNS
盡量不要開IPv6來用
請放棄使用政策路由

受限於篇幅，其實上述每一項都可以開一篇來討論
只是這樣可能變成Fortigate鐵人30

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

jim_rk iT邦新手 5 級 ‧ 2019-08-30 19:11:05 檢舉

Ausu是純Wifi分享直接對接小烏龜沒問題吧? 因為後期AP有可能會換環境
SD-WAN是絕對要用還是建議? 我現在只想切開分用沒打算做備援等等的
想知道Proxy跟flow的差別
還有靜態路由方面

jim_rk iT邦新手 5 級 ‧ 2019-08-30 19:25:40 檢舉

凱擘目前是這樣設定可是不通

介面設定就如(圖二)DNS如(圖四)都是一樣的可是就是連不了網QAQ
同樣道理換成中華PPPOE撥號就可以通

mytiny iT邦超人 1 級 ‧ 2019-08-30 19:50:46 檢舉

設備都是放防火牆後防護，難道想要讓人直接駭入嗎?
若不用SD-WAN就必須用政策路由，跟備援無關
用政策路由就會破壞靜態路由規則
就不能用防火牆規則直接做介面交流管理
因為樓主說過要觀察封包
這就是proxy跟flow的差別之一
特別是有資安政策防護的時候
不過flow的效能比較好
對樓主來說或許不是優先重要