Fortigate Firewall cihazında Wan1 dışında Wan2 yada Dmz kullanmak

Fortigate cihazında bildiğiniz üzere Wan çıkışı (wan1 yada wan) için kullanılan porta default route yapılmaktadır.
İkinci bir internet çıkışı yada başka bir amaçla kullanacağınız ikinci wan bağlantınız için cihazınızda varsa wan2 portu yok ise Dmz portu kullanabilirsiniz. (Dmz portu da yok ise lan2 portunu deneyiniz ben denemedim)
Wan1 de Ana internet çıkışınız tanımlı diyelim. Bu çıkış için static route tanımlıdır ve default gw’dir. İkinci internet çıkışınızı wan2 portuna taktıktan sonra, internet bağlantısı ip ayarlarını Network sekmesi altından Interface kısmından ayarlayınız.

Eğer ikinci bağlantı ADSL ise iki durum söz konusudur. Aradaki modem üzerinden PPP bağlantı yapmak veya firewall üzerinden PPP bağlantı yapmak. PPP bağlantıyı modemden yapıyorsanız işiniz bir nebze daha kolaydır. Çünki modemin ip adresini gw olarak kullanabilir ve route konusunda daha esnek çalışabilirsiniz. Bu şekilde kullanılmasını tavsiye ediyor ve konuyu bu çerçevede anlatmaya devam ediyorum.

Wan1 gw adresi: 192.168.1.1

Wan1 interface adresi: 192.168.1.2

Wan2 gw adresi: 192.168.2.1 (adsl modem veya bağlantı gw adresi)

wan2 interface adresi: 192.168.2.2 (gw den çıkış yapacak ip adresi, modeme uyumlu yada size verilen adres)

Network sekmesi altından Interface bölümünden Ip adresi ayarlandığında Wan2 aktif olacaktır.  Şimdi sırada bu Ip adresinden çıkış yapacak iç kullanıcımızın route ‘unu yapmamız gerekiyor.

Bu route işlemini Router sekmesi altından Policy Route kısmından yapacağız. Burada Incoming Interface, Lan portunuz’dur. (Lan1) Source Address/Mask hangi ip lerin bu route u kullanacağını ifade eder.

Mesala networkümüz 192.168.5.0/255.255.255.0 ve 192.168.6.0/255.255.255.0 şeklinde iki adet 255 ip lik bloktan oluşsun. Firewall Ip Adresimiz 192.168.5.1 ve 192.168.6.1 Biz bu tanımlamayı yapmadığımız sürece tüm ip ler wan1 üzerinden route oluyordur.

Source address / mask olarak 192.168.6.0/255.255.255.0 blogunu ikinci wan’dan route edeceğiz. Destination address / mask: 0.0.0.0 / 0.0.0.0 kalacaktır. Outgoing Interface kısmından ise ikinci portumuz wan2 veya Dmz veya hangisi ise o seçilecektir. Ve alt kısıma ikinci bağlantımızın GW’si yazılacaktır. GW’miz 192.168.2.1 idi.

Bu ayarlamalardan sonra route yapıldı ancak firewall policy olmadığı için firewall paketleri DROP edecektir.

Policy sekmesi altından Policy kısmından bir rule oluşturun ve source: lan portunuz destination: wan2 portunuz olacak şekilde seçin. Ayrıca bu rule de Nat işlemi de yapılacaktır. Source address olarak 192.168.6.0/255.255.255.0 şeklinde (kullanıcı blogumuzu önceden Firewall Objects kısmından Address olarak eklememiz gerekiyor) seçelim. destination address olarak all (0.0.0.0) seçelim.

Policy Rule ‘de tanımlandıktan sonra artık ikinci çıkıştan 192.168.6.0 bloğu cıkış yapabilecektir.

İpucu: Kaynak 192.168.6.0 ‘a ait tüm trafik wan2 ‘ye yönlendiği için bu kaynaktan local networke giden paketler DROP olacaktır. Örneğin 192.168.0.2 DNS server diyelim. Bu servere ulaşmak için bu rule’u ekliyoruz. Policy Route kısmında az önce eklediğimiz Rule den önce çalışacak şekilde (üstte olacak local yönlendirme rule) bir rule tanımlamak gerekmektedir. Bu rule de Source 192.168.6.0/255.255.255.0 ve destination atıyorum local network’ünüz 192.168.0.0/255.255.255.0 (veya 192.168.5.0 ve 192.168.6.0) yönü olabilir.Outgoing Interface olarak lan1 portunu seçin ve gw kısmına birşey yazmayın (default olarak 0.0.0.0 gelir değiştirmeyiniz). Bu rule’u ikinci blogun (192.168.6.0) internet çıkışını test ettikden sonra ekleyiniz.

Not: Anlattığım ayarlar normal şartlarda çalışmaktadır. Bu ayarları uygulamanız neticesinde olumsuz sonuç almanız durumunda sorumluluk size aittir.

Kolay gelsin..

Interface Ayarı:

Interface

Policy Route:

Policy Route

Policy Rule:

Policy Rule

Policy Route (Local Network): Source address 192.168.6.0/255.255.255.0 olmalı burada. (hatalı print screen alınmış)

Policy Route Local

Fortigate 3.0 ‘da traffic logunu alabilmek.

Fortigate 3.0 os ‘da Fortianalyzer olmadığı durumda traffic logunu alamıyorsanız, ağ geçidinin trafik loglarını özellikle syslogd’ye alabilmek için console’a bağlanarak,

config log syslogd filter
set traffic enable
end

şeklinde syslogd için traffic logu açılabilir. Tabi syslogd ayarlarının yapıldığını ve syslogd log verme yönteminin açıldığını varsayıyorum. Aynı şey diğer log verme yöntemleri içinde kullanılabilir.

kolay gelsin.