Aktywne Wpisy
Maczuga_Herkulesa18 +141
Dzisiaj wyjazd firmowy więc jak zwykle obrączka zjeżdza z palca i czas na zabawe z Julkami lvl 22 z działu sprzedaży :) Raz się żyje #zwiazki #logikarozowychpaskow #logikaniebieskichpaskow
źródło: Zdjęcie z biblioteki
Pobierz
Fandolores +68
Naszła mnie taka myśl. Znacie jakieś mało spotykane lub nietypowe nazwiska? U mnie na osiedlu jest dziewczyna która z panny miała Kot, a wyszła za chłopaka który się nazywa Mruczek i została przy dwuczlonowym nazwisku Kot-Mruczek. Chyba całe życie na siebie czekali xD znam też osobę która miała na nazwisko Szczur, poznał kobietę swojego życia, ale dała mu ultimatum że musi zmienić nazwisko, bo nie wyjdzie za Szczura i zmienił na Szczurkowski
Aktywne Znaleziska
Próbuje ogarnąć na Fortigate 80E: VPN remote access i routing. (mój pierwszy Forti)
Myk polega na tym, że fortek jest tylko stykiem z ISP a do LANu mam next hop na router wew oparty na L3 switchu CISCO.
Wymyśliłem sobie, że jeden port na fortigate będzie portem MGMT zaadresowany w VLANie MGMT. Ustawione jako Hardware Switch i przypisany port.
Żeby z innej podsieci (np. ADMIN VLAN) mnie fortigate wpuścił na tym porcie, musiałem ustawić routing do tej podsieci wskazując na IP bramy tego VLANu MGMT.
Inny port ustawiony jako reszta LANu, NAT LAN-> wan1 zrobiony, działa.
Routing na całą adresację prywatną zrobiony na tę właściwą hopkę. /30
Teraz jak chcę mieć dostęp z VPN remote access na VLAN managementu to mnie nie wpuszcza... Do LANu ADMIN też nie. Reszta LANu działa.
Manipulowanie "Administrative distance" nie pomaga. Wygląda to tak jakby klient VPN był na bezpośrednim styku z adresem MGMT firewalla i olewał trasowanie. Polityki ipsec_vpn -> LAN i w drugą stronę są i działają bo resztę LANu widać.
Dodałem nawet podsieć klientów VPN na port MGMT i adres bramy tego VLANu, też nic...
Cookbook zakłada, że Forti będzie jedynym routerem w sieci, ale ja nie chcę tak. On ma NATować, być bramą VPN i w przyszłości site2site, a LAN ma być na hopce innego routera.
Nie wiem, ślepy jestem czy jak...
Z CISCO w ASA nie miałem takich cyrków...
#siecikomputerowe #fortinet
Komentarz usunięty przez autora
Chciałem mieć MGMT urządzeń sieciowych w jednej adresacji bez dostępu do Internetu, osiągalną z wybranych adresacji. Ostatecznie chyba zostanie mi zrobienie dostępu na porcie ruchu z reszty LANu i skrojenie na miarę dostępu na ACL.
Rysunek poglądowy.
źródło: comment_nXr16LZLAqLVhkfj68U6um2gCoxtnML5.jpg
Pobierzhttps://blog.webernetz.net/fortigate-out-of-band-management/