上手飞塔FortiGate-30E，试水企业级防火墙做家用路由（已补充虚拟专网实测）

dislike

leonqin 发表于 2024-2-21 22:25
我就是登录的管理口，esxi里的肯定能上网的，错误提示也不是没有网络连接之类的，而是无效的序列号。。。 ...

好像是每个账号只有一个免费的license，你重新注册个账号试试呢

leonqin

dislike 发表于 2024-2-22 08:25
好像是每个账号只有一个免费的license，你重新注册个账号试试呢

嗯，我也想过这个可能性，晚点我再注册一个账号试试看。不过免费license对配置限制太大了，总感觉有点不爽，也就只能体验性质用用了吧。

housecall

1.一个账号只能申请一台永久测试VM版本授权，超过验证的时候报61错误
2.如果只是体验功能，有权限的话下载FortiOS，这个不需要授权，功能和Fortigate几乎一致，但效率减半。不过应付千兆网络没啥问题，FortiOS打流有3G左右，Fortigate打流6G左右。

leonqin

housecall 发表于 2024-2-22 16:46
1.一个账号只能申请一台永久测试VM版本授权，超过验证的时候报61错误
2.如果只是体验功能，有权限的话下载F ...

下载VM的地方只有FFW和FGT两种类型，FGT就是对应fortigate的，FFW就是fortinet firewall，都带有fortios.ovf，但是FFW这种类型的VM启动后，打开登录页面直接就要上传lic文件了，连获取试用授权的选项都没有。

housecall

leonqin 发表于 2024-2-22 18:13
下载VM的地方只有FFW和FGT两种类型，FGT就是对应fortigate的，FFW就是fortinet firewall，都带有fortios. ...

FortiOS需要有合约有效期内的账号权限才能下载

Johnsnow-s

mmma 发表于 2024-2-20 07:26
不清楚呢，其实我本身不太追求上下行带宽，我们是为了墙本身去用的，和家用其实两回事。CHH不知道为啥刮 ...

对的，互联的需求比隔离要大很多

leonqin

housecall 发表于 2024-2-23 10:49
FortiOS需要有合约有效期内的账号权限才能下载

多谢。看来是没辙了，只能老老实实用我的授权过期的30E和6.2.X了。

housecall

提醒一下，购买Fortigate防火墙的童鞋们，要升级到7.4版本的，一定要是授权合约有效期才行。从7.4版本开始，飞塔修改了之前“免费”的固件升级策略。从7.4版本开始，升级、降级大的版本，都必须是合约有效期内，过期的只能相同版本小范围内升级或降级。比如，过期了，只能在7.4.X内升级或降级，比如7.4.1升级到7.4.3，不能升级到7.6或降级到7.2及以前版本之类的（直白点就是跨大版本不行）。
7.4以下的版本目前没有这个限制。这个是调整不久的策略，很多人还不清楚，按以前经验来买设备以为可以“免费”升级到7.4或以后版本的，该注意了。

leonqin

顶楼上。其实买二手飞塔设备时，负责人的卖家也会提前向你说明这个设备能升级到的最新版本，或者会帮你升级到最新版才卖出。不过对于拿回家仅当个普通路由加基本防火墙功能来使用的场景而言，6.X应该和7.X没有太大的差异吧。

IceyHeart

拿坦克跑通勤，完全可以

raoshine

在咸鱼上找的卖家电源头子是自制的，不知道可靠性怎么样，坏了好不好配

leonqin

raoshine 发表于 2024-2-26 13:25
在咸鱼上找的卖家电源头子是自制的，不知道可靠性怎么样，坏了好不好配

那个接头其实淘宝上也有卖的，至于电源，只要电压满足，电流差不多都可以吧，以后自己买个别电源的来接上一个头应该也没问题。

raoshine

leonqin 发表于 2024-2-26 13:58
那个接头其实淘宝上也有卖的，至于电源，只要电压满足，电流差不多都可以吧，以后自己买个别电源的来接上 ...

多谢
也准备入了个30E玩玩

leonqin

raoshine 发表于 2024-2-26 14:02
多谢
也准备入了个30E玩玩

30E的确是值得入手的，就算买来做一个备用路由都很不错。

BH1PXK

刚刚试了下 华为 ar650的ipv4 防火墙规则对 ipv6网络无效 ， 幸亏之前nas都没有配置ipv6地址，不然就裸奔了。我得也得研究下 看看命令行下能不能单独配置ipv6 的规则了。不然我也得重新买个支持ipv6的防火墙了。

diskerjtr

BH1PXK 发表于 2024-2-26 16:21
刚刚试了下 华为 ar650的ipv4 防火墙规则对 ipv6网络无效 ， 幸亏之前nas都没有配置ipv6地址，不然就裸奔了 ...

飞塔有ipv6国家库，ipv6也能分流

BH1PXK

diskerjtr 发表于 2024-2-26 16:28
飞塔有ipv6国家库，ipv6也能分流

我翻了下华为的文档，路由器防火墙支持ipv6，只是要用命令行配置，网页不支持配置。
ip分流，我用手动写静态路由的方式弄了。。只弄了ipv6，v4放弃了，

刘佐

SSL那个建议用客户端+隧道模式。
建议看下这个
https://fortinet-public.s3.cn-no ... cts/HTML/index.html

允许对应策略以实现更好的使用体验

jameszhan

请教飞塔的ipv6配置方法，看了楼主的帖子，也入了个30E玩玩，但是测试ipv6是不通的，有开启ipv6的界面配置，用的dhcp模式，宽带接入是有v6的，因为原来的路由器就能正常使用。不知道是否还需要命令行配置

raoshine

通过你的贴子我也入了一台，基本设定已经好了，请教下如何更改默认的443端口号，好从外网访问设备？

BH1PXK

raoshine 发表于 2024-2-28 15:20
通过你的贴子我也入了一台，基本设定已经好了，请教下如何更改默认的443端口号，好从外网访问设备？ ...

这种常用端口运营商直接封的。 用其他端口吧

BH1PXK

jameszhan 发表于 2024-2-28 11:17
请教飞塔的ipv6配置方法，看了楼主的帖子，也入了个30E玩玩，但是测试ipv6是不通的，有开启ipv6的界面配置 ...

如果用dhcppd 方式获取前缀 ，你需要在wan口设置dhcppd客户端 然后获取前准绑定到地址池。 然后在下行接口绑定地址池 用无状态发布前缀。  这是理论 ，具体命令 我用其他设备的，不了解。

leonqin

raoshine 发表于 2024-2-28 15:20
通过你的贴子我也入了一台，基本设定已经好了，请教下如何更改默认的443端口号，好从外网访问设备？ ...

从外网访问就别指望80和443端口了，除非你有备了案的域名。还是老老实实走V PN或者端口映射吧。

raoshine

BH1PXK 发表于 2024-2-28 15:22
这种常用端口运营商直接封的。 用其他端口吧

直接改默认的443，但是内外访问也跟着改了，想着内外是443，外网用自定的，但是找不到地方

raoshine

leonqin 发表于 2024-2-28 15:25
从外网访问就别指望80和443端口了，除非你有备了案的域名。还是老老实实走V PN或者端口映射吧。 ...

想起来了，飞塔的是直接转发443，之前用的是直接更改的

leonqin

raoshine 发表于 2024-2-28 15:28
想起来了，飞塔的是直接转发443，之前用的是直接更改的

不用V PN的话，你就得有公网IP，最好有DDNS，然后www.abc.com:4443这样的方式来访问，这样你在飞塔里添加虚拟IP（VIP），把WAN的4443映射到LAN的443就行了。

raoshine

leonqin 发表于 2024-2-28 15:32
不用V PN的话，你就得有公网IP，最好有DDNS，然后www.abc.com:4443这样的方式来访问，这样你在飞塔里添加 ...

是这样操作的，443转发成自定的，这样外网用自定的，内外不用加端口
谢谢

leonqin

raoshine 发表于 2024-2-28 15:37
是这样操作的，443转发成自定的，这样外网用自定的，内外不用加端口
谢谢 ...

能直接用443？是用了备案域名吗？

nineapple

电源是12V的， 接口就是电脑电源的2针口，你可以从废旧电源上剪刀一个下来。 也可以淘宝买一个接头。

raoshine

leonqin 发表于 2024-2-28 15:48
能直接用443？是用了备案域名吗？

不能直接用443，给路由器IP和443的端口转发，在策略放行，就可以使用转发后的端口访问了