請教中華電信MOD如何在防火牆內使用? 要開那些服務PORTS才行?
最近家中買了一台二手 Fortigate 50E 來練練手..基本的設定都設定好了..就是MOD搞不定..
網路是 中華電信光世代 300M/100M PPPOE 1固定,7浮動IP 將它設定在2個WAN
MOD設備如果要放在防火牆後面 LAN端 服務設定如何開才能正常收視啊?
=======================================================
謝謝大家的回覆, 因為實體架構上中華電信光世代數據機&MOD都只有拉入一樓的電信箱(只能在1樓看),現在想要改接到2,3樓觀看..
而1樓到2,3樓只有1條網線串到樓層後再用Switch分接(都是在LAN內). 要再接線上去的話成本太高..
所以想要試試是否有方法類似 VLAN 等方式
如何把WAN中的MOD協定訊號 指派到 LAN 中的 MOD IP ...
附上線路圖
目前的作法是在 綠2 & 橘8 跨接一條線 就可以看MOD ..
但是如此就失去防火牆的實體防禦功能
而且不知為何..如果沒有接防火牆或是用跨接方式在今年一次中華H660W改版後..Aruba 會失去 漫游功能.. 當拿手機由1F 走到 2F 網路IP不變但是連線會中斷..要再重連一次才會通..
已邀請的邦友 {{ invite_list.length }}/5
MOD本身就是一個機上盒
其實對網路架構而言就是一個外部設備
並不會連樓主的內網
(MOD接電視是走HDMI,
相對從影音傳輸被駭的機率低一點)
但是,Fortigate並不是沒有辦法
可以嘗試啟用Virtual Wire Pair
新版OS可以支援在路由模式下做TP mode
啟用內容檢測如IPS服務
可以起到一些防護的作用
樓主可以嘗試看看
不過在下還是建議直接接在小烏龜上比較單純
況且FG-50E沒有太多空接口
拿來做多撥系統(1固定,7浮動IP)走SD-WAN
會比較有實質意義些
(如何做多撥系統,等有人問再說)
你好,
請問是否有方法可以將WAN中MOD訊號指到 LAN port => Switch 中的MOD設備.. 又可以跟原LAN port 共用同一線路?
因為 連接2,3樓只有一條網線..用此方法..其實仍需要加拉一條獨立網線到MOD才行..
感謝回覆 ^_^
樓主沒有仔細看一下Virtual Wire Pair的影片哦
讓 綠2 進FG-port1 橘8 出FG-port2,就可以
(FG-50E要把switch接口打成5個獨立口)
如果不會,那當初樓主應該買接口較多的二手Fortigate
或是放棄MOD對防火牆的實體防禦功能(其實作用不大)
你好,
因為要接到2F,3F,4F只有一條線..所以是接在FG-Lan1 port1
請問如果使用 Virtual Wire Pair 將WAN1也對應到 port1 是否內網Lan1 就全部都透通到 WAN1 了..
那台H660W 內有DHCP IPV4/6 以及一些奇怪的協定封包..
如此的話可以用政策條例將它都擋住嗎? (但是又怕一擋 MOD 又沒法看了..)
看來是否最大的問題還是少一條線..或是要把switch都換成有完整VLAN功能的..才能解決?
不是,樓主的需求跟VLAN無關
Virtual Wire Pair是將一進一出的兩接口做成透通模式
政策可以在其中做第七層檢查
在下有說得很清楚:
要先將switch接口打成5個獨立口
讓 綠2 進FG-port1 橘8 出FG-port2
沒有Wan1,也沒有Wan2
其他原先的接法都照舊
謝謝~ 我試試看~ 如果可以透通 再管制 或許也可以達成在在同一網線上並存2個Lan 的效果..
我照著步驟把 FG-50E port4,port5 設定成透通模式
IPV4 &IPV6 Virtual Wire Pair 政策也設定上去~
再把 H660W => Port5, Port4 接入 LAN switch
目前 MOD 可以開機,隨選電影等也都OK了.. 但是電視頻道 都沒有畫面 .. 看起來廣播的協定好像不通..不知要如何設定 才能讓直播串流也進來..
樓主沒有開 multicast policy
同時要注意防火牆政策用flow模式
紀錄要all session
你好,
我已如圖 設定了 multicast policy ,防火牆政策用flow模式
紀錄 設 all session
但是 仍是看不到 電視頻道.. 請問還有什麼地方可能有問題嗎?
SNAT disable (都做透通了,何必轉址)
其他就要樓主仔細觀察log了
在log裡常可以發現出端倪的
魔鬼總在細節中
既然都看到電影了
再仔細搞搞嘍
感謝~
找到問題原因了.. 的確是 SNAT 不能打勾
而且 multicast policy (組播政策) 要設定雙向才行.
可以快樂在 2F,3F 看MOD了~
只是有點不明白為什麼已設定透通,服務政策也全開了..卻要在另一個 multicast policy 再設定一次政策.. 感覺有點麻煩多餘..
且 multicast policy 中也只能設定 透通 port 的開關.. 為何不合併在透通模式的政策中設定就好..
再次感謝~
如圖可以看到 MOD 電視頻道的頻寬 會固定流量在 10M ..
恭喜樓主打通關鍵,以後就有經驗了
同時感謝給分,謝謝!
MOD 2/3系列STB的IP是設成固定IP,5系列看開機畫面似乎是DHCP,但是是吃MOD server端的DHCP或是可以吃user端的DHCP就沒觀察過了,由樓主的測試看來應該可以吃user端的DHCP,那就好玩了
....
報告cmwang大,Virtual Wire Pair有些不一樣
在以往舊版本FortiOS
切VDOM後才能分成幾個Firwall
早期VDOM只能同一模式route mode
或者都是transparent mode
後面才可分一台機器有不同VDOM不同mode
(具體是哪一版本開始已記不得了)
後來到5.4.x開始就有Virtual Wire Pair(VWP)
但初期還蠻多問題,不太方便用
到5.6.x開始,開放在OS是route mode下
做到透通性的Virtual Wire Pair(VWP)
自此開始就避免非要切VDOM才能搞TP mode
同期到6.0.x也有了transparent web proxy
因此樓主的需求如果在資安檢核方面
基本上會無關L2/L3(如果在6.4硬鎖mac也可以)
因為Fortigate上2個接口是TP mode
DHCP取得還是在server而不是user
IP的通訊跟switch差不多
只是session封包經過Fortigate可以做檢查
因此要額外開通multicast policy
以便影音的通訊能夠順暢通過
由以上可知,在OS route mode下
是不是讓cmwang大,有更多想像空間
事實上在下近年深深覺得以FortiOS進展速度
一般USER甚至SI,如果沒有深入研究
已經很難掌握其中大多數的資安及網管功能
如果只用AV/IPS,可能真的很可惜
下次遇見廠商,不妨問問Fortigate有哪些新用途
中華幫我裝的MOD型號是 504A , 它的IP目前看來是 一個固定IPV4的IP(10.199.X.X)
跟一個 IPV6 IP (2001:b011:9805:XXX)
它的工程模式 密碼不是網路上的 1234 , 我進不去..也就無法取得更進一步的設定資訊..
還在想如何把政策設定得更細一點..
目前MOD及LAN內部的IPV6都透過此透通模式連出去..
IPV6還不太知道要怎麼管..
MOD是獨立線路~直接通數據機連線,他們有獨立線路驗證機制~
拒絕任何防火牆控制@@"
你可以想像MOD就是第四台電視~
第四台電視也不可能要經過你手上同意才能播放..
1.打 123 報修 MOD 故障無法收看
2.工程師到府後會開啟 MOD 的工程模式,想辦法記下所有設定
3.等工程師離開後再自己慢慢設定
第2點,比較好的做法是給工程師一點好處(現金、涼水飲料..)
然後直接問他這個問題的答案或提示
謝謝大家的回覆, 因為實體架構上中華電信光世代數據機&MOD都只有拉入一樓的電信箱(只能在1樓看),現在想要改接到2,3樓觀看..
而1樓到2,3樓只有1條網線串到樓層後再用Switch分接(都是在LAN內).
所以想要試試是否有方法類似 VLAN 等方式
如何把WAN中的MOD協定訊號 指派到 LAN 中的 MOD IP ...
這篇把 ASUS AP 寫的好棒棒
設定一下就可以用了
是啊~ 不知FG應用程式 有沒有MOD可以加??
但是LAN-IP 也不同啊...
不知要如何可以用Fortigate 作到類似的設定..
CHT MOD用的是自己的IP,又有IGMP join/leave和IP Multicast要處理,硬搬到自己的FW下要花不少工夫,還是直接讓它走L2 bridging/switching連到ONU-R比較實在吧
....
iThome鐵人賽
看影片追技術