có thể làm video hướng dẫn mình đẩy tất cả traffic đi internet đi qua VPN S2S về site khác không ạ. còn local traffic thì vẫn chạy local bình thường

@CNTTSHOP

2 ай бұрын

Nếu site to site thì bạn chỉ cần dùng policy route hoặc default route trỏ tất cả dải mạng sang site còn lại. Còn trên firewall site đối diện, bạn cần tạo thêm policy để cho phép các dải LAN VPN ra internet là được.

@VVlog92

2 ай бұрын

@@CNTTSHOP 2 đường WAN phải nằm riêng biệt chứ ko được để vào SDWan phải không ạ? Với lại nếu dùng Policy route trỏ qua hết các site kia thì khi mình truy cập local thì traffic có chạy luôn qua site kia luoon ko ạ?

@CNTTSHOP

2 ай бұрын

Khi bạn dùng s2s thì vốn 2 firewall ở 2 nơi khác nhau rồi, nên không liên quan gì đến SDWAN. Còn local traffic thì sẽ vẫn đi theo routing bình thường trong mạng của bạn

bạn làm thêm về phân tích log trên fotinet và về phần sdwan

@CNTTSHOP

2 жыл бұрын

SDWAN thì anh có thể tham khảo video kzread.info/dash/bejne/dpiqvJWJise6l84.html. Về phân tích log thì còn tùy thuộc vào giao thức, events mà chúng ta cần các cách tiếp cận khác nhau.

Cảm ơn anh đã chia sẽ, hướng dẫn. Xin hỏi anh thêm tình huống, có 3 site: site A vpn site to site với site B, site B có vpn site to site với site C, trên site A và B cấu hình như thế nào để A có thể route đến được C (yêu cầu ko tạo vpn tunnel từ A kết nối đến C) ? Cảm ơn Anh và mong anh hồi đáp giúp và có thể cho dựng lab được ko ạ

@CNTTSHOP

2 жыл бұрын

Cách đơn giản nhất là bạn cấu hình Hub-and-Spoke với B là Hub, hoặc cấu hình GRE tunnel giữa A-B, B-C rồi chạy định tuyến qua GRE tunnel

Trong trường hợp Router VNPT bị shutdown port e0/1 thì mạng mọi tracffic VLAN 10 ra internet có chuyển sang đường VNPT ko ạ, hay VLAN 10 ko ra được internet ạ. Thanks !

@CNTTSHOP

Жыл бұрын

Nếu bạn cấu hình 1 Policy base routing cho VLAN đẩy qua đường VNPT, thì khi đường VNPT bị down thì policy sẽ không có hiệu lực, lúc đó traffic thuộc VLAN 10 sẽ tuân theo 1 PBR khác (nếu có). Nếu ko có PBR khác thì VLAN 10 sẽ đi theo routing thông thường, nghĩa là đẩy qua theo default route, và có thể truy cập internet bình thường nếu bạn đã firewall policy cho VLAN 10 ra internet.

Làm sao để enable nhiều port hơn nữa trên firewall fortigate ạ! Hiện tại trên c ủa bn đg bật 4 pỏt

@CNTTSHOP

2 жыл бұрын

Mình đang dùng bản ảo hóa của Fortigate trên PnetLab. Nếu bạn cũng sử dụng EVE-NG hoặc Pnetlab thì bạn kích chuột phải vào firewall, chọn Edit, trong mục Ethernet bạn nhập số cổng cần enable trên firewall nhé. Còn trên thiết bị Physical thì số cổng đã được fix theo từng model và sẽ được hiển thị đầy đủ trong giao diện Interface.

cho mình hỏi nếu 2 link kết nối fortigate với router VNPT và link kết nối từ Router VNPT ra internet nếu sử dụng hai dải subnet khác nhau thì trước khi thực hiện bài lab này ta có phải cấu hình sẵn ip cho các interface của router với các port của fortigate và định tuyến cho chúng trước không ạ ?

@CNTTSHOP

8 ай бұрын

Trước tiên bạn cần phải cấu hình IP và routing để mạng có thể hoạt động bt trước khi sử dụng PBR, trong trường hợp PBR bị lỗi thì mạng vẫn hoạt động thông qua định tuyến thông thường

Bạn cho hỏi: tôi mới dùng fortigate E100, mới chỉ cấu hình ở mức đơn giản cho truy cập internet nhưng ko hiểu tại sao là nếu dùng ít máy thì khôbg vấn đề gì nhưng dùng nhiều máy (tầm trên 30 máy) thì có máy truy cập internet được, máy không. Có trường hợp đang truy cập vào firewall thì treo khi refresh lại thì ko vào được firewall nữa, cũng ko truy cập được internet nữa. Có một đặc điêtm chung giữa các trường hợp này là máy client vẫn nhận được ip tự động, vẫn ping được chính firewall nhưng ko ping được ra ngoài. Rất mong bạn trả lời.

@CNTTSHOP

Жыл бұрын

Trường hợp này anh có thể cắm 1 dây mạng từ cổng MGMT của firewall vào 1 máy tính nào đó để truy cập vào FW và kiểm tra lúc mất mạng. Anh có thể kiểm tra xem Firewall có bị overload không, máy tính nhận IP nhưng có đúng là do FW cấp hay không, ping thử từ FW ra internet bằng các source interface khác nhau xem có được không, bật ALL log trên policy ra internet để xem lúc PC truy cập ra internet có mapping vào policy đó hay không và xem action tại thời điểm đó là gì

@thuytruongluu3669

Жыл бұрын

Trường hợp ip thì đúng là do FW cấp rồi. Và chắc chắn fw vẫn kết nối ra internet trên 1 cổng wan vì vẫn có máy đi ra ngoài internet được. Ở đây tôi nghi quá tải nhưng 1 hệ thống tầm 50 đến 70 máy tính thì con E100 đáp ứng được.

@CNTTSHOP

Жыл бұрын

Trường hợp này thì anh có thể bật log all session trên Firewall, và lọc log theo Source IP là IP của máy tính không ra được internet. Anh có thể xem PC đó đã map đúng vào policy ra internet chưa, và action của Firewall lúc này là gì (permit hay deny). Nếu anh thử truy cập net trên PC mà không có log trên firewall thì có thể có 1 thiết bị modem nào khác cấp cùng dải, và gateway lại trên modem đó chứ không phải FW.

@thuytruongluu3669

Жыл бұрын

@@CNTTSHOP Cám ơn bạn!

Hi bạn, Cho mình hỏi : 1 - bên mình dùng 2 đường truyền vnpt và viettel, đường vnpt là chính mọi thứ bt khi mất mạng mình đổi qua viettel -> đổi qua viettel thì wifi chạy bt nhưng lan lại mất ( wifi port 1 chạy bt , lan port 3 mất cùng dải mạng x.x.x.x và wifi port 5 chạy bt, lan port 5 cũng mất dải mạng x.x.y.x) 2 - có thể chia Vlan x.x.x.x sang viettel, Vlan x.x.y.x sang vnpt nhưng lấy 1 địa chỉ bất kỳ của x.x.x.x gán sang đường vnpt được không ?

@CNTTSHOP

2 жыл бұрын

1 - Bạn có thể mô tả về mô hình được không, Port1-FW => Switch LAN => Wifi cắm vào sw LAN? Và chỉ wifi có mạng còn các máy khác cắm vào switch LAN ko có? Wifi và LAN trên cùng port1 là cùng 1 VLAN, cùng policy? 2 - Bạn có thể làm được nhé, policy sẽ check từ trên xuống, nên bạn tạo 1 policy cho địa chỉ x.x.x.x sang vnpt và đặt trên cùng là được.

@sonnguyentien9354

2 жыл бұрын

1 - Con FW mở 2 port Port 1 và Port 3 có dải ip giống nhau (x.x.x.x) Port 1 -> Sw Cisco -> AP ( VNPT -> Viettel chạy bt ) Port 3 -> Sw tplink -> Devices( VNPT -> Viettel không có internet) 2 - Thanks bạn!

@CNTTSHOP

2 жыл бұрын

Trên KZread không cho gửi ảnh nên cũng hơi khó, bạn có thể tham gia group fb: facebook.com/groups/cnttshop.community, sau đó chụp ảnh phần cấu hình Interface (bao gồm cả port 1, 3, và 2 cổng WAN (IP WAN bạn có thể che đi), Phần cấu hình Route và policy post lên group nhé.

Làm sao để cấu hình trên các router VNPT, Viettel để ping thấy 8.8.8.8 vậy bạn?

@CNTTSHOP

2 жыл бұрын

Có 2 cách. Cách 1 là anh có thể đặt IP 8.8.8.8 cho cổng Loopback trên router Internet để giả lập. Cách 2 là anh có thể nối router Internet ra các Network trên VMWare, để router này có thể ra được mạng thât, trên router Internet lúc này anh sẽ cấu hình NAT, Route tùy theo mô hình. Cách 2 thì anh có thể tham khảo video kzread.info/dash/bejne/goyK2Nahd5W2hso.html để nối mạng ảo trong PnetLab ra internet nhé.