הגדרת Routing ב - Forti 60E

[itay009]

הגדרת Routing ב - Forti 60E

שלום חברים,
התקנתי עבור לקוח Fortinet 60e לא מזמן, יש לי בעיה אומנם אני פחות מתעסק עם הציוד הזה, בעבר זה היה פשוט יותר...

זה הסינריו:
WAN 1
WAN 2
DMZ - קו גיבוי LTE

אני מעוניין שמספר משתמשים יצאו באופן קבוע דרך - WAN 1
יותר המשתמשים יצאו דרך - WAN 2
במקרה שאחד מה WAN לא פעיל אז יפנה ל DMZ שזה למעשה ה LTE

מה הדרך הנכונה ביותר לבצע זאת בציוד הקצה שיש לרשותי ?
היום הגדרתי :
Policy Rule בלבד למצב הזה, נסתי לעשות זאת דרך Static Route וגם דרך ה Policy Route אך ללא הצלחה ...

אודה על העזרה ועל הרענון...
תודה לכולם

 

[SysAdmin1]

למרות ש FORTIGATE זה צרה צרורה של SOHO , אנסה לתת פרטים....

למרות הכלל הידוע ש FORTIGATE זה צרה צרורה של לקוחות מסוג SOHO שאסור להתקרב עליה או אפילו לכתוב עליה וש Fortinet 60e זה דוגמה הכי מובהקת של זה, אנסה בכל זאת לתת פרטים בנושא. דבר ראשון, יש שוני בסוגי הגדרות, אם FORTIGATE מבצע NAT או לא. ולפי זה כבר ניתן להמשיך הלאה. נניח שמדובר כאן על מקרה הכי גרוע ובנוסף לכל הצרות Fortinet 60e גם מבצע NAT . במקרה כזה הדרך ההגדרה המתאימה מוסברת בקישור הבא:
http://kb.fortinet.com/kb/documentLink.do?externalID=100116

 

[itay009]

תודה על התגובה

אני מודע לזה ויודע . אך אני לא מכיר פתרונות טובים יותר במיוחד שללקוח יש מרכזיות IP, צ'ק פויינט לא בא בחשבון....
&nbsp
בכל מקרה זה לא ממש עונה לי על כל השאלה,
נניח שבצעתי Policy Routs בדרך הזו והכל עובד בסדר -
חלק יוצאים ב ADSL A
והיותר יוצאים ב ADSL B
במקרה של תקלה איך אני מוודא ש A יוצאים מ B או במידה ויש בעיה בשני הקווים, אז יש DMZ שלמעשה משמש כגיבוי סלולרי....
&nbsp
&nbsp
&nbsp

 

[SysAdmin1]

מספר נקודות...

נתחיל מה DMZ .
DMZ בנתבים כאלה בדרך כלל לפי התכנון שלהם משמש ממש לא ל WAN נוסף, אלה לשרתים פנים ארגוניים, למשל לצורך חיבור של אותה מרכזיית IP .
בקשר למספר קווי WAN , לצורך השרידות נהוג להשתמש בסוגי תשתית שונים, ולא הגיוני ש WAN1 ו WAN2 יהיו על אותו סוג תשתית, בגלל שאם יש תקלה בספק התשתית, שניהם יהיו לא זמינים.
דבר נוסף, מלכתחילה לא ברור מה הצורך להשתמש לניתוב כתובות LAN שונות בחיבורי WAN שונים. אם זה לצורך לקוחות SIP למשל, אז המימוש כזה הוא עקום לגמרי.
מה שנדרש, זה לשריין רוחב פס מתאים לסוג התעבורה הרצוייה ולא לנתב אותה בקו נפרד. אבל אם בכל זאת רוצים סוג תעבורה שונה לשלוח בקו שונה, צירפתי הסבר שכולל גם תרשים דומה וגם את הגדרות נדרשות:
http://kb.fortinet.com/kb/viewContent.do?externalId=FD31240
בקשר למודם LTE \ UMTS , הוא לא מתחבר כ DMZ, אלה כ WAN נוסף, למשל דרך ממשק USB .
הסבר על הגדרות של מודם 4G , כולל כקו גיבוי בלבד:
http://help.fortinet.com/fos50hlp/5...e-system-administration-54/Advanced/Modem.htm

בקשר לפתרונות טובים יותר. הפתרון טוב יותר יכול להיות בדמות מערכת PFSense שיכולה לתת את כל מה שנדרש כאן והרבה מעבר, כולל ניהול של QOS לצורך SIP למשל, ניהול של מספר רב של חיבורי WAN , כולל גם חיבורים סלולריים, ניהול של שרת VPN לצורך התחברות של שלוחות רחוקות, התקנים ניידים, עבודה מרחוק, חיבור בין הסניפים וחיבור מאובטח של SIP TRUNK , סינון תעבורה מתקדם, אנטיוירוס רשתי מרכזי, מנגנון IDS \ IPS שהחתימות שלו מתעדכנות על בסיס יומי, ניהול מתקדם של VLANS , גם לצורך VOIP , שרת RADIUS מובנה ניהול של אבטחה ברשת אלחוטית וכו'. וכל זה בחינם, כל מה שנדרש, זה רק שרת שעליו כבר מתקינים את המערכת. מחיר כולל של מערכת כזו יהיה דומה למחיר של ה Fortinet 60e , אבל ייתן אפשרויות וביצועים של קישוריות, גמישות, ניהול, אבטחה וכו' שנמצאים בקטגורייה אחרת לגמרי שקרובה כבר למערכות ENTERPRISE ויהיה מתאים גם לצורך מערכות ארגוניות נוספות בהמשך.

 

[itay009]

המטרה

א - תודה על ההשקעה
&nbsp
1 - קודם כל מי אמר שהתשתית היא זהה? המטרה שונה ו QOS או Traffic Shaper הוגדר לצורך משתמשי ה SIP וזה ממש לא קשור לזה.
המטרה היא חלוקה בשביל הסדר ובשביל העומסים....
&nbsp
לכן שאלתי מה הדרך הטובה ביותר לבצע זאת
יש לי 2 משתמשים שצריכים לבצע UP במהלך שעות היום ובעקבות זה הם תוקעים לשאר המשתמשים את האינטרנט
מה הדרך הטובה ביותר לדעתך שאני צריך לפעול ובמקרה כזה גם כאשר התשתיות ADSL חווים בעיה שהמעבר לגיבוי יהיה אוטמטי

 

[SysAdmin1]

הסבר נוסף...

1 - ברגע שאמרת ש גם WAN1 וגם WAN2 הם ADSL , כבר אמרת שהתשתית היא זהה. וזה מסיבה מאוד פשוטה, אם אנחנו מדברים על קווים שמותקנים במדינת ישראל, אז במדינת ישראל קיימת תשתית ADSL רק לחברת בזק בלבד, ושני קווים כאלה, הם אותו סוג של תשתית, שאם אחד מהם נופל בגלל בעיות תשתית, אז גם הקו השני מן הסתם נופל בגלל אותה הסיבה ולא משנה מה היא, אם זה שברון של כבל רב זוגי, אם זה כשל ב MSAG , בסיב אופטי שמזין אותו, או כל סיבה אחרת.
בשביל חלוקת העומסים משתמשים במנגנון של חלוקת עומסים בשילוב עם QOS , שכך מתבצעת חלוקת עומסים דינאמית ולא בהקצאה קשיחה, שבגללה נוצר מצב שמשאב מסויים ( קו תקשורת ) יהיה לא מנוצל, בגלל שהוא הוגדר לשימוש של משתמשים מסויימים בשלב הם לא מנצלים אותו ומצד שני משתמשים אחרים צריכים שימוש ברוחב פס, אבל לא יכולים לגשת לקו שהוגדר בצורה קשיחה למשתמשים אחרים. כך נוצר מצב, שמצד אחד קיים עומס ומצד שני קיים משאב לא מנוצל בזמן העומס, דבר שלא הגיוני, מיותר ובזבזני.
בכל מקרה, אם מסיבה כלשהי עדיין אתה רוצה להשתמש בהקצאת ניתוב קשיחה לכתובות פנימיות מוגדרות, אז בתגובה הקודמת כבר צירפתי קישור שנותן הסבר מדוייק איך לבצע את זה.

אם יש לך משתמשים שצורכים UPLOAD , אז תשתית של ADSL היא לא מתאימה בגלל שמראש קו ADSL לא יכול לשמש כלל לצרכים שדורשים שליחה של נתונים, אלה רק הורדה. בנוסף לזה, בישראל בזק מגבילה את קווי ADSL למהירות שליחה של עד 0.7M , עם דגש על עד. ברור מעליו שבקו כזה לא ניתן להפעיל שירותים שדורשים ערוץ עולה כלשהו. ההגבלה הזו גם נועדה לזה שלקוח עסקי לא יוכל להשתמש בקווים שהוגדרו לצרכים של לקוחות הפרטיים וגם מתומחרים בהתאם. לקוח עסקי חייב קו סימטרי שגם מתומחר בהתאם. למשל אם תזמין קו עיסקי סימטרי, אפילו במהירות נמוכה של כ 50M , רוב הסיכויים שהוא יהיה מתאים לצרכים שלך ולמרות שהוא גם משתמש בתשתית של VDSL2 , הוא ייתן לך פתרון לצרכים של UPLOAD לצרכי עבודה.

בקשר למעבר לקו גיבוי LTE , אז מקודם כבר נתתי קישור שמסביר על ההגדרות של מודם ב FORTINET , שגם באותו ההסבר קיים שם פירוט על השימוש לצורך הגיבוי. אני מצרף גם צילום מסך רלוונטי של ההסבר מהקישור ההוא.

בכל מקרה חייבים להבין ששימוש במוצר FORTINET המדובר, הוא בעיתי ביותר ומקור לצרות רבות בהמשך, כפי שכבר הסברתי מקודם.