發表文章

FortiGate DDNS with DynuDNS

圖片
倘若你的 Fortigate 仍有保固的話,可直接使用 Fortinet 內建的 DDNS 服務,要是已無保固的話,仍有 DDNS 的需求的話,可參考 Fortigate DDNS RFC2136 with Dynv6.com 的做法,只是最近不知為何我的 DDNS 更新都沒有正常運作;後續也在查找除了 Dynv6 之外,是否有其他接受 RFC2136 更新方式的 DDNS 服務。 但目前更換 FG60F 之後,仍然希望 DDNS 的方式可以運作,因此,想到了利用 Log 的方式, Fortigate 在 PPPoE 更新 IP 後都會有 event log 紀錄,當有這個 Log 出現後,直接用 Webhook + POST 的方式,來更新 DDNS 的紀錄! 好,看起來很美好,但還是先說一下缺點,目前想到的是以下兩個缺點: 缺點一:倘若你的 Fortigate 設備不只使用一個 PPPoE 介面,那這個方式,可能不適合你,因為我看到的 Log 只有紀錄更新後的 IP 位址,至於能不能再搭配其他的 Log,這部分目前我沒有研究,也沒有想法。 缺點二:因為是使用免費的服務,難保有服務不穩的問題,我也還在觀望此作法相關的穩定性;也是除了用 Fortigate DDNS RFC2136 with Dynv6.com 之外另外的作法。 若是可接受也了解這兩個缺點的狀況,那就開始吧,要是還沒有申請 Dynu 帳號,請自行前往 https://blog.jia543.com/2018/01/dynudns-ddns.html 去參考及申請註冊吧!登入 DynuDNS 後,點選右上角“齒輪”圖案,進入 Control Panel,這邊包含了所有 DynuDNS 的功能~ 接下來我們需要先取得 API Key,因此點選 API Credentials 可以看到 中間有個 API Key,預設是遮碼顯示,點選後方的 View,即可完整的 API key,將此 API Key 複製出來,等等後續都會用到~ API Key:3eg2Y45V554U2f66734646Xd4Ze44gV3 接著,我們要知道 API 要怎麼運作?語法要怎麼使用?因此點選右上方 Resource > API 點選中間的 Documentation,這邊不會要你查文件,...
閱讀完整內容

FG50E 一直掉包!要壽終正寢了~~

圖片
總覺得家中的網路越來越慢,從 Google Drive 下載一個約莫 600多MB 的檔案,大約都要 10 多分鐘!?真的是很奇怪,來去測速網站查看一下… 後來測試一下,NB 直接接在小烏龜後,發現測試起來是正常的!再使用 pinginfoview 工具軟體,竟然閘道(也就是這台 FG50E) 怎麼會 ping 的這麼慘?這個是有線的桌機,應該要像是 192.168.13.200 這台一樣,應該是不會掉包吧?! 看起來,這台 FG50E 應該是快不行了!近期 FG60F 的 CP 值算滿不錯的,也不會算太貴,趕緊入手來替換了! 更換之前,再使用 pinginfoview 確認一下,看看這個結果,還是很難看… FG60F 上線後,整個家中的網路速度都提升上來了! 後續將 FG50E 改個 IP,要將設定複製過來,就發現 FG50E 的畫面都已經無法正常顯示了… 看來我們家的網路真的有比較忙碌,FG50E 也扛了好幾年了~😅😅😅
閱讀完整內容

Fortigate 管理者&VPN 登入啟用 雙因素(二階段)認證

圖片
既然完成了 Fortigate 設定 SMTP 為 Gamil 的設定後,郵件測試也都可收到測試郵件,接下來要啟用雙因素認證(也有人稱二階段認證),先來設定管理者登入的雙因素認證與 Fortitoken 的綁定。 Fortigate WebUI > 系統管理 > 系統管理員 > 欲開啟 Fortitoken 的管理者帳號 > 編輯 勾選 ”雙因素認證” Token 選擇其中一個 未使用的即可 送出啟用碼:啟用,並選擇 ”電子郵件”,確認都無誤後 > “確定” 之後,回到 Gamil 中,便會看到 Fortigate 寄過來的郵件,會有附加一個圖檔,此圖檔為 QR Code 的圖片檔,可先打開此圖檔,等等用 app 內的相機掃描讀取即可。 於手機中開啟 FortiToken app,畫面中的右上角的 “+” 來新增一個 FortiToken 下方有個 “Scan Barcode” 按鈕,便會開啟相機,便可掃描該 QR Code App 會自動增加這個 token,點選 “>”,可幫該 token 重新命名,可以改成自己看得懂名稱,方便日後識別,像是我改成 “FG50E-D1B7” 這時,回到 Fortigate WebUI > 用戶與設備 > FortiToken,可看到 D1B7 結尾的 token 狀態成為 “已分配”,同時分配給 wangjia 這個帳號! 之後,重新開一個 Fortigate Web 登入畫面,再敲入帳號密碼之後,就會出現 Token 欄位~ 這時,回到手機上 FortiToken app 上,就會顯示 token 六位數字代碼,正確的輸入到 Token 欄位就能完成登入了! 恭喜!這時就完成了 雙因素認證了!只是每次登入都要再查看手機,然後點開 FortiToken app,再回到電腦前面輸入 token 代碼,這樣的過程是否可再簡化呢? 有的!!繼續看下去吧~~ 接下來,再從 Fortigate 上調整新增幾個參數,等等雙因素認證使用起來會更為便利!打開 Fortigate 的 CLI 方式,輸入以下的指令(只能從 CLI 啟用) config system ftm-push set server-ip < 你的WAN-IP > s...
閱讀完整內容

Fortigate 設定 SMTP 為 Gmail

圖片
這幾天突然想到,FG50E 內建有兩個 Fortitoken,一個拿來做管理者登入的 二階段認證 。另一個應該可以拿去做 SSLVPN 登入的 二階段認證 。這點子真不錯,但要實作 FortiKoten 的話,必須要先設定 SMTP server,想想那就直接用 Google Gmail 好了,很高興地直接設定上去~~ 然後使用以下指令,發現我根本都沒有收到任何信件阿…… 🤣 🤣 🤣 diagnose log alertmail test 突然想到,現在 Google 都強制要做二階段認證了,是不是這個部分導致無法直接把帳號密碼敲到 FortiGate 設定上?果然, Fortinet 的 KB 就有這樣的說明了。底下就依照 Fortinet 的 KB 繼續做下去吧~ 首先要先到 Google 應用程式密碼 網站(要確認自己登入的 Google 帳號,且是已啟動二階段認證的帳號) 應用程式名稱:打個自己看得懂的,然後無誤之後,點選”建立” 這時,產生的密碼請記好!倘若忘記了/不見了,就只能重新產生另組的密碼! 將上一步驟得到的 Google應用程式密碼,貼上在密碼欄位(預設只有 16 個字元,直接複製的記得刪除多餘的空白字元!) 安全模式:選擇 “ STARTTLS ”,確認都無誤後,點選”套用” 再使用 diagnose log alertmail test 指令測試一下,這時就會看到確實有收到 測試的告警信件! 這樣就完成了 FortiGate 上 SMTP 的設定了!後續需要在 管理介面或 VPN登入時,就可直接啟用 二階段認證 了!
閱讀完整內容