תקלה בהפניית מכשירים לרשת פתוחה בfirewall של fortinet

sxsx

שלום וברכה
יש לי fortigate 50E עם 2 ממשקי pppoe
ממשק אחד ללא חסימה והממשק השני ספק עם נטפרי
יצרתי כלל ניתוב -policy route שאומר שכל מי שבטווח 10.0.0.200-10.0.0.205 יגלוש עם הממשק הפתוח
ובחומת אש ipv4 policy איפשרתי לרשימת כתובות mac לצאת עם הממשק הפתוח
מדובר במכשירי אנדרואיד ,
בפועל המכשיר מראה שיש אינטרנט (ולא כמו כל רשת של נטפרי שהוא מזהה כמו שאין אינטרנט)
אבל שום אפליקציה לא עובדת מלבד whatsapp
בשביל בדיקה ניסיתי להגדיר שכלל המכשירים ברשת יצאו מהרשת הפתוחה ועדיין הטאבלטים לא עובדים למעט whatsapp
למישהו יש קצה חוט?
מצורפים צילומי מסך.

shraga

@sxsx כתב בתקלה בהפניית מכשירים לרשת פתוחה בfirewall של fortinet:

אבל שום אפליקציה לא עובדת מלבד whatsapp

ומה מופיע בנסיון גלישה בדפדפן (עדיף לכתובת עם http בלבד)?

sxsx

@shraga אין דפדפן
זה מכשירים עם סינון
בדקתי מקודם עם מכשיר בלי סינון ועובד
אבל אין סיבה שאם כל wifi הסינון יעבוד ורק עם שלי הסינון לא יעבוד

sxsx

@shraga אציין שבדקתי את הניתוב של התעבורה על מכשירים אחרים ועובד מצויין

Shmuel754

@sxsx אתה הגדרת firewall policy, תגדיר route policy מתחת לnetwork. שהקבוצה הרלוונטית תצא דרך wan2.

sxsx

@Shmuel754 הגדרתי
תסתכל בתמונה האחרונה

Shmuel754

@sxsx ה WAN2 שלך לא מחובר.

אתה צריך להגדיר את חיבורי הספק בWAN1 ובWAN2

sxsx

@Shmuel754

Shmuel754

איך אתה מחייג מקו אחד ל2 ספקים?
את הכתובת של החייגן קיבלת אוטומטי לאחר חיוג או שהגדרת ידני?

אצלי, מופעל חייגן בWAN 1 וחייגן שני לספק השני בWAN2

שמואל4

@sxsx לדעתי קצת מורכב להבין מה הסיפור, בעיקר בגלל הטענה שוואצפ עובד, והשאר לא, מה גם שמלמעלה זה נראה שההגדרות תקינות.

אני הייתי מנסה לבודד שלב שלב, בתור התחלה להגדיר הכל בלי נטפרי, לגמרי, לראות שהכל תקין, שבאמת מצליחים לגשת לאינטרנט.

אולי גם לנסות ב policy הראשון, לבטל את ההגבלה של הMAC.

בכללי, משהוא קטן שאני לא מבין, מה זה ה tunnel interface? זה VPN? כלומר, אני לא רואה פה באמת שתי כבלים פיזיים מחוברים עם PPPoE (למשל, לראוטר כ bridge).

ליבל

@sxsx כתב בתקלה בהפניית מכשירים לרשת פתוחה בfirewall של fortinet:

@shraga אין דפדפן
זה מכשירים עם סינון
בדקתי מקודם עם מכשיר בלי סינון ועובד
אבל אין סיבה שאם כל wifi הסינון יעבוד ורק עם שלי הסינון לא יעבוד

איזה סינון יש על המכשיר?
יש מצב שעל המכשיר יש VPN (שאולי חסום) והווטצאפ מוחרג ?

avramk

@שמואל4 זה שני ספקים PPOE
ו @sxsx אני חושב באמת שהאופצייה היא לנתב את הכל דרך הפתוחה ולהשהות את הרשת המסוננת לחלוטין. יכול להיות שברמה מסויימת יש יישומים שהמכשיר מנסה לצאת (בלי שום סיבה הגיונית ) דרך הPPOE של נטפרי,
לחילופין אפשר להגדיר פוליסי שרק MAC'S מסויימים יוכלו לעבור דרך נטפרי ואז לראות תוצאה.

avramk

@Shmuel754 אפשרי אם זה לא בזק

שמואל4

@avramk כתב בתקלה בהפניית מכשירים לרשת פתוחה בfirewall של fortinet:

@שמואל4 זה שני ספקים PPOE

ואיך זה תחת אותו INTERFACE פיזי אחד?

avramk

@שמואל4 לפי מה שאני רואה, וגם לי יש מקום שאני עובד ככה. הWAN הראשי מוגדר על 0.0.0.0 שהוא כביכול לא מחייג אלא הוא ה'תשתית' ומתחתיו יוצרים חיוג PPOE שיוצא דרך התשתית

שמואל4

@avramk כתב בתקלה בהפניית מכשירים לרשת פתוחה בfirewall של fortinet:

@שמואל4 לפי מה שאני רואה, וגם לי יש מקום שאני עובד ככה. הWAN הראשי מוגדר על 0.0.0.0 שהוא כביכול לא מחייג אלא הוא ה'תשתית' ומתחתיו יוצרים חיוג PPOE שיוצא דרך התשתית

אבל אין דבר כזה, תשתית אחת לא יכולה לחייג פעמיים.
משהוא שם לא מובן לי בכל הצורה שזה עובד, איך מוגדר ה tannel interface , מה יש בו בצד הפיזי, ואיך אתה מקבל שתי כתובות.
interface שהוא tannel interface לא יכול להיות PPPoE.

Shmuel754

צודק, ניתן לחייג מחיבור פיזי אחד של בזק ל-2 ספקים שונים בו זמנית, באמצעות מודם מתאים בהגדרת חיוג נוסף לPPPoE נוסף.

בדקתי במודם DLINK, צריך לבדוק מה הרווח של זה מלבד ניהול עומסים במקרה והחיבורים נופלים בחיבור בעייתי.

שמואל4

@Shmuel754 כתב בתקלה בהפניית מכשירים לרשת פתוחה בfirewall של fortinet:

צודק, ניתן לחייג מחיבור פיזי אחד של בזק ל-2 ספקים שונים בו זמנית

עם חיבור DSL פיזי אחד?
צריך שהם יגדירו משהוא בשביל זה?

Shmuel754

@שמואל4 כתב בתקלה בהפניית מכשירים לרשת פתוחה בfirewall של fortinet:

@Shmuel754 כתב בתקלה בהפניית מכשירים לרשת פתוחה בfirewall של fortinet:

צודק, ניתן לחייג מחיבור פיזי אחד של בזק ל-2 ספקים שונים בו זמנית

עם חיבור DSL פיזי אחד?
צריך שהם יגדירו משהוא בשביל זה?

כן, חיבור קו אחד.

שמואל4

@Shmuel754 כתב בתקלה בהפניית מכשירים לרשת פתוחה בfirewall של fortinet:

כן, חיבור קו אחד.

כל חיבור אפשר לעשות את זה עם ציוד תומך?