Fortigate 50E*2 Lab的SD WAN、VPN 、vdom、政策路由、...等問題請教

fortigate fortianalyzer fortimanager sd wan 政策路由

唬爛 2024-08-05 09:46:52 ‧ 1001 瀏覽

分享至

承之前的發問
Fortigate VM
發現Fortigate VM真的閹割功能到極致...，導致無法測試...
由於有商借到Fortigate 50Ex2(無對外IP，在4G分享器內架設Lab)，因此測試了

SD WAN，有設定成功site to site VPN，使用兩端site PC互ping
a. SD WAN(wan1+wan2) to SD WAN(wan1+wan2)，拔線wan1，會斷線！
b. 建4四條site to site VPN(wan1、2 to wan1、2)，拔線wan1，仍會斷線！？
c. 觀察4條site to site VPN，只有wan1 to wan1與wan1 to wan2有流量！？因此拔線wan1，一定斷線...，另外的wan2 to wan1與wan2 to wan2完全沒流量！是哪裡設定錯誤嗎？
d. 想模擬兩個site透過兩線建立site to site VPN，其中任一條線路如果異常？不會中斷連線
sslvpn架設順利
vdom？有邦友建議要熟悉vdom，之前操作過Fortigate，在左下角的最底下有vdom，但Fortigate 50E沒有vdom？不知道是硬體規格限制？還是韌體版本(6.2.15)限制？
政策路由預設是「關閉」？手動開啟後，感覺介面就是熟悉的防火牆介面！？是我的錯覺嗎！？請教靜態路由與政策路由，如果有衝突？誰優先！？
FortiAnalyzer(VM，7.x)，載入裝置(輸入序號)，即可自動判別型號，但發現無法設定IP address！？無法設定IP address是要怎麼收集log ?目前只能熟悉操作介面
FortiManager(VM，7.x)，可能版本差異太大？Fortigate 50E是6.2.15，目前只能熟悉操作介面

Fortigate雖然之前有接觸過，但僅限於維護(前人已經設定好)，透過朋友提供公司的101F介面參考(截圖)，才能快速上手，但Fortigate 50E沒vdom？這個就無法測試練習...，此部分有請熟悉Fortigate的大大回覆
另FortiAnalyzer(VM)、FortiManager(VM)學習上，有什麼建議嗎？目前看來只能熟悉操作介面...
+++++++++++++++++++++
補SD WAN截圖

不知道這樣設定SD WAN是否正確！？
+++++++++++++++++++++
補vdom截圖，這樣算是設定成功了嗎？

看更多先前的討論...收起先前的討論...

rb1102 iT邦研究生 3 級 ‧ 2024-08-05 11:33:49 檢舉

1.可能要貼一下SDWAN的設定才知道問題出在哪
https://www.youtube.com/watch?v=mIxKCBprgjs&t=748s
4.政策路由會優先，不過SDWAN就是取代政策路由的
5.從Fortigate裡面的織網連接器去輸入FAZ的ip

唬爛 iT邦好手 1 級 ‧ 2024-08-05 12:12:47 檢舉

感謝回覆
1. 回去截圖
4. 朋友告知，靜態路由優先於政策路由！？由於他的底子不夠...+Fortigate我不熟悉，所以才要確認優先順序
5. 會嘗試在Fortigate 50E設定FAZ的IP測試

rb1102 iT邦研究生 3 級 ‧ 2024-08-05 15:08:13 檢舉

你可以照著教學影片裡面設定，應該沒什麼大問題

唬爛 iT邦好手 1 級 ‧ 2024-08-05 15:14:21 檢舉

沒看影片的習慣！主要原因
1. 英文程度太差，聽不懂
2. 聽力障礙
所以以爬文為主

唬爛 iT邦好手 1 級 ‧ 2024-08-05 20:46:16 檢舉

已補SD WAN截圖
由於對於SD WAN沒概念？
所以是按照自己的認知去設定
FAZ已成功加入50E的IP

rb1102 iT邦研究生 3 級 ‧ 2024-08-06 14:52:12 檢舉

這篇翻譯一下應該能看
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Configure-IPsec-VPN-with-SD-WAN/ta-p/209840
突然想到，要把IPsec線路加入SDWan Zone，韌體好像需要到6.4以上
50E韌體好像沒有到6.4以上...
我不知道能不能達到啦，可以嘗試創一個VPN SDWan Zone
把IPsec通道加進去，這部分我沒有在6.2.15測試
回到截圖，你的IPsec通道沒有加入SDwan Zone，加入的只是Wan1跟Wan2
policy設定的都會是Zone哦，跟你的lan→SDwan一樣
而且通道是不是建太多了，應該只需要兩條就能達到
1( A Wan1 →B Wan1 )
2( A Wan2→ B Wan2 )

唬爛 iT邦好手 1 級 ‧ 2024-08-06 15:35:04 檢舉

感謝提供連結
有可能是版本不支援吧？
在選擇介面時，只有wan1&2可選擇，沒有SD WAN...
也因此才設定4條VPN...，想藉此達到任一條斷線，不會中斷VPN，然後設定SLA後，貌似可以達到此需求！？
由於手邊沒有比較新款的Fortigate！只能以50E熟悉操作介面、設定

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

bluegrass

iT邦高手 1 級 ‧ 2024-08-05 14:08:20

SD WAN , 什麼 a b c d 亂七八糟的

Performance SLA 有沒啟用? 你VPN INTERFACE 兩邊有設IP互PING檢查?

50E 有vdom, 自己GOOGLE去, 輸入CLI指令啟用
政策路由優先於靜態路由. 旦正常用FORTIGATE的人都不會去使用.上世代的技術. 正常人都用SDWAN RULE
正常人是在FORTIGATE上輸入FAZ的IP, 再到FAZ上授權. 你反過來也可以
FortiManager要先設好ADOM, ADOM VERSION對應你FORTIGATE的OS VERSION

回應 7
分享
檢舉

看更多先前的回應...收起先前的回應...

唬爛 iT邦好手 1 級 ‧ 2024-08-05 14:51:07 檢舉

抱歉
鵝是Fortigate的菜鳥...，應出題者要求練習Fortigate，這個只是其中一個項目

SD WAN是第一次接觸，出題者的意思應該是要求其中一條線路中斷，不能中斷服務吧？所以才設定4條site to site VPN(由於沒有足夠的對外實體IP，只能使用內部IP模擬)，有建立兩台PC VM(分別在兩個site)互相ping，VPN有通，目前測試拔線(wan1)還是會斷線...
50E有vdom？請問有關鍵字嗎？有嘗試Google與爬文，都沒找到相關連結...，若方便提供連結，更佳
Fortigate的菜鳥，第一次從無到有自己完成設定，很多都是第一次接觸/設定
Fortigate的菜鳥，第一次接觸，在FAZ增加裝置，似乎不可行！？樓上有建議從防火牆輸入FAZ的IP
50E是6.2.15，FortiManager最舊的版本是7.0.x，可能無法對應版本！？昨天實際操作，發現版本無法對應

以上，謝謝您的回覆

bluegrass iT邦高手 1 級 ‧ 2024-08-05 17:21:11 檢舉

不是PC VM互相ping, FORTIGATE的VPN INTERFACE可以設IP, 用那個來決定生死, 而不是拔WAN線, 拔了WAN線後一段時間內, 相關的VPN還是判定為UP的

https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-enable-multiple-VDOMs/ta-p/193601

config sys global
set vdom-mode multi-vdom
end

別用PBR,用SDWAN RULE.
因為你FAZ太新要用HTTPS連接, 6.2好像不支持, 你改安裝用6.2版的FAZ就可以了
一樣道理. 一般支持向下兩個版. 比如7.0就支持7.0, 6.4, 6.2

唬爛 iT邦好手 1 級 ‧ 2024-08-05 19:07:29 檢舉

不能理解兩個不同site的PC互ping與VPN Interface互ping有何差別？
感謝提供連結，回家後立即測試
我再理解、思考一下
4.&5. 這個無解！官網(VM)最舊的版本就是7.0.x，回家後，會嘗試從50E指定FAZ的IP試試

唬爛 iT邦好手 1 級 ‧ 2024-08-05 20:44:24 檢舉

已開啟，但不確定是否算成功？詳見截圖

四. 已成功將50E的IP輸入到FAZ

唬爛 iT邦好手 1 級 ‧ 2024-08-05 21:26:01 檢舉

啟動Performance SLA之後
測試拔線(wan1)，出現一個很弔詭的現象！？
一個site的PC的ping沒中斷
一個site的PC的ping中斷大概一兩分鐘後，自動恢復連線！？
所以這樣算是達到指定的需求嗎？

bluegrass iT邦高手 1 級 ‧ 2024-08-06 09:00:22 檢舉

其實你應該試把線試去一個不通網旦能點亮LAN的地方來試-.-
比方FORTIGATE的DMZ口-.- 把WAN1跟DMZ互接.

然後學習觀察Performance SLA的表現
來模擬你FORTIGATE接MODEM沒事
旦ISP那邊出事上不了網的情況

ping中斷一兩分鐘有點久
可能是SESSION CACHE問題
你可以試試手動斷PING再PING另一個IP測試效果

BTW, 兩個不同site的PC互ping與VPN Interface互ping有何差別?
搞FORTIGATE快十年了, 你還真第一個用PC PING不用VPN IP PING的

PC關機了怎麼辦-.-
沒網路你又用什麼PC-.-
這是先有雞還是先有蛋?

唬爛 iT邦好手 1 級 ‧ 2024-08-06 10:40:13 檢舉

會拔線測試，是因為直覺認為這樣最簡單...，由於我的Lab環境都是在內網(wan是DHCP...)...，無法模擬您想像中的情境
由於是Lab環境，PC是可確認在開機狀態，實務上，會聽從您的建議，由Interface介面ping

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2024-08-06 09:59:46

由於bluegrass大大已經持續解答互動
在下還是別太多意見為好
其實Fortigate的功能越來越多
以SD-WAN而言算較新的功能
應該很多SE都不熟，資料較難爬到

整個樓主的要點其實在SD-WAN優先等級規則
如果不想用SLA
其中的策略及偏好介面是其中的訣竅
喜歡用拔線測試的方式
或許可以拆分用成每條線就一個規則
改用先後次序來解決

概略來說
因不了解測試的架構環境
如果沒有長時間對談很難明白點在哪裡
樓主身為SI工程師應該會深有體會
SD-WAN設定其實在觀念(千萬少用PBR)
而且設計架構與規則很吃經驗
建議先把原文手冊看過再慢慢研究
要不就花錢去原廠上課吧
至少可以知道正規的設計步驟

回應 2
分享
檢舉

唬爛 iT邦好手 1 級 ‧ 2024-08-06 10:34:57 檢舉

唉！
說到痛處了！
Fortigate官網、Google都找不到50E的完整操作手冊...
鵝不奢求一定要50E的操作手冊！可以提供任何機型(E之後的版本)的完整操作手冊下載的連結嗎？
朋友的公司的Fortigate(101F)還在保固期內，跟中華電信要操作手冊也要不到！！！
由於是Fortigate的菜鳥+SD WAN之前沒接觸過
無人指導+憑自己的經驗去架設Lab，即使有錯誤！？也無人可糾正或驗證...
目前會練習就是為了面試複試，如果蒙錄取？原廠訓練課程，會主動爭取