當使用 Outlook 配置 Exchange 2013 帳號,將「通訊錄隱藏」就會發生此問題。使用者帳戶未與信箱產生關聯,或是已手動設定為對全域通訊清單隱藏時發生。
登入 Exchange「ECP」管理介面,找到「帳戶」取消「在通訊清單中隱藏」。
參考資料
「Technet」-「名稱與通訊清單中的名稱不符」
登入 Exchange「ECP」管理介面,找到「帳戶」取消「在通訊清單中隱藏」。
↧
S小魚仔S Outlook 2013 動作無法完成 此名稱與通訊清單中的名稱不符
登入 Exchange「ECP」管理介面,找到「帳戶」取消「在通訊清單中隱藏」。
↧
S小魚仔S Wireshark 抓網路封包 基本配置(一)
「Wireshark」這一套軟體在業界是非常好用的封包分析軟體,「Wireshark」安裝「下一步」到底,不多介紹。
安裝完成,點選「Wireshark Legacy」圖示
點選「Interface List」
勾選「實體網卡」在「Packets」會發現有「流量數據」表示這張網卡有「封包數據傳輸」。
點選「Options」
1. 選擇「網卡」
2. 使用「混雜模式」(將來自接口的所有數據都捕獲)
3. 數據封包「存放路徑」
4. 以多個檔名來存放「文件」
PS
當您資料量封包需要抓取「1天以上」建議使用此「功能」。
5. 滿足設定「封包數量」 或「時間」 停止抓取
6. 管理網卡
7. 封包窗口「顯示」
Update List Of Packets In Real Time = 抓取封包會「即時顯示」
Automatically Scroll During Live Capture = 抓取封包會「滾動卷軸」
Hide Capture Info Dialog = 不顯示用來抓取封包流量的「網卡」。
8. 名稱解析「選項」
Resolve Mac Address = 解析 「第二層」MAC 地址 所屬「廠商」
Resolve Network-Layer Names = 解析 「第三層」 IP 對應 「主機名稱」 或 「網域名稱」,透過該主機「DNS」進行解析,會出現大量 DNS解析,可能會造成封包壅塞,請自行評估。
Resolve Transport-Layer Name = 「TCP/UDP」 端口號對應的「應用程序」名稱
Use External Network Name Resolver = 設定外部操作系統指定的名稱「解析程序」如「DNS」..等
Wireshark 在抓取「封包」分為「三」主視窗
「Packet List」目前抓取所有數據、包含「封包」、「時間」、「來源 IP」、「目的 IP」、「溝通協議」..等
「Packet Details」顯示「封包」內容,展開可以看到「數據」全部
「Packet Bytes」顯示「封包」未經過處理的「格式」
在擷取封包並不會顯示「無線 (Wireless)」封包,必須「啟用」「View」=>「Wireless Toolbar」
設定 完成「Wireless Toolbar」顯示
透過「Filter」可以篩選需要瀏覽封包如「DNS」,輸入完成需要點「Apply」
點選「資料夾」圖示,進行「存檔」
點選該「圖示」表示不要即時「捲動視窗」
在「Packet Details」視窗,可將需要數據如「Total Length」加入「Packet List」視窗
設定結果如下圖
點選「Total Length」欄位 => 「右鍵」=>「Remove Column」即可進行移除
以前上「網路課程」老師曾經說過,電腦只認識「0101010」二進制,「Wireshark」Packet Bytes視窗 就可以顯示「二進制」表示法。
點選「右鍵」=>「Bits View」
神奇事情發生..這就是「0」與「1」 完美結合,只要您看得懂就行。
基本配置 和 介紹 就到這邊嚕,之後有時間再繼續寫..
↧
↧
S小魚仔S 停止轉送不需要 Windows Event Log 送往 Splunk Log Server
因客戶端「Splunk Log Server」 收集過多「Windows Event Log」造成「Splunk Log Server」流量不足,修改「inputs.conf」檔案,減少不必要「Windows Event ID」送往「Splunk Log Server」。
PS
「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\inputs.conf」
「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\local\inputs.conf」
PS
「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\inputs.conf」
「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\local\inputs.conf」
首先我們必須要搞清楚「Splunk for warder Agent」運作機制。
「inputs.conf」在「default」和「local」資料夾都有,執行優先權為「local」>「default」,所以我們只需要編輯「local\inputs.conf」即可,設定前還是需要看一下「default\inputs.conf」。
檢查「default\inputs.conf」不做設定
「WinEventLog://Security」(Windows 安全性 Log)
「disabled=1」表示「LOG不轉送」
「blacklist1 =EventCode="4662".....」表示不轉送「Windows Event ID=4462」,這一行語法就是我們需要的。
「index = wineventlog」,預設安裝「Splunk for warder agent」就會自動帶上「索引值」。
接下來設定「local\inputs.conf」
我們會看到「disabled = 0」表示「LOG 執行轉送」,在「WinEventLog://Security」(Windows 安全性 Log),下行貼上「blacklist3 =EventCode="4662"」,就可以停止轉送「Windows Event ID=4462」。
PS
「local\inputs.conf」設定檔 與「default\inputs.conf」設定檔「blacklist」編號「不能重複」。
注意「default\inputs.conf」與「local\inputs.conf」會合併處理,優先權是「local\inputs.conf」先執行。
完成上述設定,重新啟動「Splunk for warder Agent」服務。
1.「cd C:\Program Files\SplunkUniversalForwarder\bin」
2.「splunk restart」
↧
S小魚仔S Outlook 郵件標頭分析 (Message Header Analyzer)
微軟提供「Remote Connectivity Analyzer」,分析「郵件標頭」(Message Header Analyzer)。
點選 Outlook「郵件」=>「檔案」
點選「內容」
複製「網際網路標題」
將內容「貼上」Message Analyzer
接著就會自動幫您分析「郵件標頭」
參考資料
「Testconnectivity.microsoft.com」-「Remote Connectivity Analyzer」
↧
S小魚仔S Exchange Server 2013 ECP 設定 使用者 信箱委派
透過 Exchange 2013 設定 ECP「信箱委派」可以讓「A使用者」開啟「B使用者」信箱。
PS
「無法寄信」只能「瀏覽」和「設定」規則。
詳細設定方法如下
登入 Excahnge「控制台(ECP)」
1. 點選「收件者」
2. 點選「信箱」
3. 尋找「B使用者」
4. 點選「B使用者」
點選「信箱委派」
「完整存取權」加入「A使用者」
登入 「Web OWA」(A使用者)
點選「開啟另一個信箱」(B使用者)
完成開啟「B使用者」信箱
↧
↧
S小魚仔S vCenter Server 設定 分佈式交換器 (vSphere Distributed Switch)
Vmware vSphere V-Center 在 「vNetwork」(網路虛擬化),支持兩種「vSS」(vSphere Standard Switch)、「vDS」(vSphere Distributed Switch)。
「vSS」(標準交換器),不需要搭配「V-Cetner」。
「vDS」(分佈式交換器),需要搭配「V-Center」。
為什麼需要使用 分佈式交換機(vSphere Distributed Switch)?
可以理解為跨多台「Esxi」超級交換器, 「分佈式交換機」是基於「V-Center」搭配使用,簡化網路 「連接和管理」,網路配置不以「Esxi Host」為單位,不需要單台「Esxi Host」個別配置。
在什麼樣的環境底下要使用「vDS」(分佈式交換器),如果 「Esxi Host」> 「10台」 或 「10 組 VLAN」以上 ,但還是要看環境應用狀況,和維運人員能力做決定。
在什麼樣的環境底下要使用「vDS」(分佈式交換器),如果 「Esxi Host」> 「10台」 或 「10 組 VLAN」以上 ,但還是要看環境應用狀況,和維運人員能力做決定。
PS
所有流量都會透過「dvUplink」端口,進行傳輸。
架構基本
1. 透過「VMware vSphere Client」=> 登入「V-C」建立「Cluster」=> 加入「Esxi Host」。
2. 點選「網路功能」=>「新增 vSphere Distributed Switch」設定「上行連接」。
點選「Data-Center」選擇「新增 vSphere Distributed Switch(D)」
選擇 適合您 「ESXI」配置環境。
1. 輸入「VDS」名稱
2. 輸入「上行連接埠數目」,參考「架構圖」。
PS
每台主機的「實體介面卡」配置「VDS」數目上限
3. 瀏覽「配置完成」示意圖
選擇「Esxi Host」主機 網路卡
1. 勾選「自動建立預設連接埠群組」
2. 點選「完成」
3. 刪除「預設」dvPortGroup,連接埠群組。
4. 建立「連接埠群組」配置「VLAN」
點選「VDS」分佈式交換器 => 「新增連接埠群組」
1. 輸入「名稱」
2. 選擇「VLAN」
3. 輸入「VLAN ID」
PS
連接埠數目「預設值」即可
5. 選擇 建立「Guest VM」配置「網路卡」
6. 瀏覽「Esxi Host」網路 示意圖
若您有特殊需求使用「vSphere Distributed Switch」進行「vSphere vMotion、iSCSI、NFS、FCoE、Fault Tolerance、Virtual SAN」請繼續往下看
登入「vSphere Web Client」
點選「主機和叢集」
點選「Esxi Host」=>「管理」=>「網路功能」=>「新增主機網路」
選擇「VMkernel 網路介面卡」
「選取現有網路」=>選擇「dvSwtich」,接著「下一步」
此步驟就能啟用「vSphere vMotion、iSCSI、NFS、FCoE、Fault Tolerance、Virtual SAN」功能
↧
S小魚仔S QNAP TS-251+ 簡易配置導引
QNAP TS-251+ 需要安裝「QNAP Qfinder Pro for Windows」尋找「TS-251+」硬體設備,接著進行「安裝導引」。
安裝完成「QNAP Qfinder Pro for Windows」,點選「設備型號」
進行「初始化」配置
選擇「NAS」配置「模式」
配置「名稱、密碼」
配置「日期及時間」
配置「網路」位址取得方法,一般都會使用「固定」
選擇使用「檔案傳輸」方式 ( SMB、FNS、......等)
QNAP 在「硬盤」RAID 配置模式提供「靜態磁碟區」、「完整配置磁碟區」、「精簡磁碟區」,配置 RAID 「效能 與 功能」,請自行參考圖中說明。
配置完成,瀏覽「清單」
點選「確定」進行「安裝」
等待「初始化」配置完成
初始化 配置 簡單 滿意,如果有個人家用需求可以 購買 搭建 影音 圖像 環境,後續會再補充更多 QNAP NAS 應用。
TS-251+可以自行增加「記憶體」最大值為「8G+8G」(16G),記得購買 低電壓 DDR3-1600 1.35V 筆電記憶體。
↧
S小魚仔S QNAP TS-251+ 搭配 USB 無線網卡
TS-251+ 有支持 USB Wi-Fi,購買前請參考「相容性列表」。
點選「選單」=>「網路與虛擬交換器」
1. 點選「網路介面卡」
2. 點選「無線網路」
3. 找到您的「SSID」進行「連線」,就完成了。
↧
S小魚仔S QNAP TS-251+ 搭配 Asus RT-AC88U 完成 LACP
「TS-251+」搭配「Asus RT-AC88U」完成「LACP」配置。
使用「LACP」端口聚合,支援「負載平衡」和「線路備援」備援,很多人會誤解使用「LACP」兩張「Gigabit LAN」網路卡會變成「2Gb/s」傳輸速率,其實這是錯誤的理解,雖然網路總頻寬已增至「2Gb/s」,但網路速度仍會維持在「1Gb/s」
首先瞭解「RT-AC88U」配置 和 硬體限制,「RT-AC88U」端口聚合 (LACP) 功能,只能用「Lan1」和「Lan2」這是因為「硬體限制」關係,RT-AC88U使用「IEEE802.3ad」協議,這樣協議屬於「通用型」大多數 NAS設備也是支持
簡易架構配置圖
配置「Asus RT-AC88U」
1. 點選「區域網路」
2. 點選「Switch Control」
3. 啟用「NAT 加速」
4. 啟用「Link Aggregation」(LACP)
PS.
限定「LAN 1」和「LAN 2」
配置「TS-251+」
1. 點選「選單」
2. 點選「網路與虛擬交換器」
1. 點選「網路介面卡」
2. 點選「Port Trunking」
點選「新增」
PS
若您有啟用「Virtualization Staion」(虛擬工作站),綁定「實體網卡」,會無法「Port Trunking」,必須先停用「實體網卡」綁定。
點選「Port Trunking 模式」編輯
預設採用「Layer 2+3 (MAC+IP)」
1. 勾選「介面 1 (1GbE) + 介面 2 (1GbE)」
2. 選擇「820.3ad dynamic」
3. 點選「套用」
點選「是」
透過「Qfinder」找到「設備」IP,登入即可
如果「TS-251+」設定「LACP」失敗,無法透過「IP」登入怎麼辦?
透過「Qfinder」,找到「設備」=>「設定」
1. 點選「網路設定」
2. 點選「設定」
改為「多址設定」
PS
「單一」網卡模式。
再透過「Qfinder」找到「設定」進行「登入」即可。
參考資料
「Asus」-「RT-AC88U LACP支援」
「QNAP」-「QNAP NAS 配置 802.3ad (LACP)」
↧
↧
S小魚仔S QNAP TS-251+ 架設 Xeams Mail Server 郵件伺服器
QNAP 在「Mail Server」套件 支援「XMail」和「Xeams」,「XMail」設定介面不友善直接跳過,「Xeams」介面尚可接受,接下來就開始實戰。
進入「QNAP」選單 => 「App Center」
![]()
1. 點選「通訊」
2. 點選「Xeams」
![]()
安裝完畢,點選「Xeams」
![]()
佈署模式,選擇「Stand-alone server」
![]()
1.輸入「Administrator's Email」
2. 輸入「管理員」帳號、密碼
PS
「Administrator's Email」輸入您「Mail Domain」帳號。
![]()
「Local Domains」會自動抓取「Administrator's Email」輸入資訊
![]()
確認「相關配置」
![]()
安裝完成,進入 Xeams「頁面」
![]()
1. 點選「Server Configuration」
2. 點選「Manage Users」
![]()
輸入「帳戶」資訊
![]()
完成後,使用「Outlook」收信,配置「POP」和「SMTP」資訊
![]()
經過「Outlook」測試信件,發現「收不到信」,這是因為Xeams 會啟用「Filter Message」(信件過濾)。
1. 點選「Messages Repository」
2. 點選「Search Messages」
![]()
發現「Outlook 測試信件」被放在「Junk Message」
![]()
![]()
1. 點選「Filter Management」
2.點選「Score Configuration」
3. 停用「Filtering」(過濾) 功能
![]()
透過「Home」頁面,可進行修改「SMTP」和「POP3」相關配置。
![]()
進入「QNAP」選單 => 「App Center」
1. 點選「通訊」
2. 點選「Xeams」
安裝完畢,點選「Xeams」
佈署模式,選擇「Stand-alone server」
1.輸入「Administrator's Email」
2. 輸入「管理員」帳號、密碼
PS
「Administrator's Email」輸入您「Mail Domain」帳號。
「Local Domains」會自動抓取「Administrator's Email」輸入資訊
確認「相關配置」
安裝完成,進入 Xeams「頁面」
1. 點選「Server Configuration」
2. 點選「Manage Users」
輸入「帳戶」資訊
完成後,使用「Outlook」收信,配置「POP」和「SMTP」資訊
經過「Outlook」測試信件,發現「收不到信」,這是因為Xeams 會啟用「Filter Message」(信件過濾)。
1. 點選「Messages Repository」
2. 點選「Search Messages」
發現「Outlook 測試信件」被放在「Junk Message」
1. 點選「Filter Management」
2.點選「Score Configuration」
3. 停用「Filtering」(過濾) 功能
透過「Home」頁面,可進行修改「SMTP」和「POP3」相關配置。
「Mobile01」-「XMail 如何以 NAS 架設 Mail Server」
↧
S小魚仔S QNAP TS-251+ 設定 Syslog 轉送日誌 連線紀錄 和 事件紀錄
登入「QNAP」Web UI。
1. 點選「選單」
2. 點選「控制台」
點選「系統紀錄」
1. 點選「Syslog 用戶端管理」
2. 啟用「Syslog」設定「轉送」IP和 UDP
3. 勾選「系統事件紀錄」
PS.
系統連線紀錄,需「啟用」才能執行
1. 勾選「系統連線紀錄」
2. 點選「偏好設定」
勾選「Log」紀錄類型
點選「開始記錄」
完成上述設定,「Syslog 用戶端管理」就可以轉送「系統連線紀錄」
↧
S小魚仔S 啟用 Windows Services 錯誤 1079 解決方法
使用 Windows 系統的時候難免會遇到各種服務無法啟用或設定錯誤導致服務啟動失敗。
因修改預設「啟動服務」帳號,發生錯誤「1079」
1. 開啟「登入」
2. 點選「這個帳戶」
3. 點選「瀏覽」
點選「進階」
1. 點選「立即尋找」
2. 選擇「LOCAL SERVICE」
1. 清除「密碼」為「空值」
2. 點選「套用」
啟用「服務」即可正常運作。
參考資料
「Mobile.game2.tw」-「Win7 使用過程中出現錯誤1079故障的原因及解決方法」
↧
S小魚仔S VMware Vsphere Esxi 轉送 Syslog 日誌
設定「VMware Vsphere Esxi」轉送「Syslog」日誌
1. 使用「VMware vSphere Client」登入「Esxi」
2. 點選「組態」
3. 點選「安全性設定檔」
4. 點選「內容」
啟用「Syslog」防火牆 傳輸規則
1. 點選「組態」
2. 點選「進階設定」
1. 點選「Syslog」=>「global」
2. 設定 Syslog.global.logDirUnique「udp://IP:Port」
檢查「Syslog」伺服器,確認轉送成功。
參考資料
↧
↧
S小魚仔S Centos 7 安裝心得
選擇「Install CentOS 7 」
選擇「語系」
點選「軟體選擇」
選擇「含有 GUI 的伺服器」並 選擇「附加元件」
PS
使用「Centos」幾乎都是架設「伺服器」用途居多
選擇 安裝「系統」硬碟位置
選擇「硬碟」
配置「網路介面卡」
在網路配置方面「非常」好用..繼續往下看
啟用「介面卡」,點選「+」
分別有四種模式「綁定網路」(Bonding Network)、「橋接器」(Bridage Network)、「團隊網路」(Private Network)、「VLAN」(Vlan Network)。
PS
模式很像「VMware Workstation」虛擬網路,「橋接器」和「團隊網路」不多介紹..自行研究。
「綁定網路」(Bonding Network) 提供「多張網卡」組合「循環分配 (Load Balance)、自動備援 (Active-backup)、網卡聚合 (802.3ad)」...等模式
「VLAN」(Vlan Network) 提供「介面卡」設定「VLAN ID」![]()
完成上述配置「開始安裝」
配置「ROOT」密碼![]()
安裝完成..等待重新開機
輸入「1」瀏覽 授權聲明
輸入「2」接受 授權聲明
輸入「q」 離開![]()
輸入「yes」重新啟動 CentOS 7
簡單 系統初始 配置
選擇「語系」
選擇「時區」
是否使用「線上帳號」如「Goolge」或「ownCloud」
建立「使用者」帳號
終於設定完畢,開始使用 CentOS Linux
進入後,可以切換「帳號」使用「Root」最高權限進行操作
點選「沒有列出來?」
使用「root」登入
歡迎來到可愛「CentOS 7」
參考資料
「Cent OS 7」-「Cent OS 7 Download ISO」
↧
S小魚仔S Splunk 6.4.X (Centos 7) 監控「IIS」Log
1. 設定「IIS」Log 建立「Share Folder」
點選「站台」=>「紀錄」
找到「IIS」LOG 位置
設定「C:\inetpub\logs\LogFiles\W3Svc1」Share Folder
2. Splunk 主機 (Centos 7) 使用「Mount」掛載「Share Folder」
輸入「mount -t cifs -o username="administrator",password="23452661"//192.168.2.51/LogFiles/W3SVC1 /mnt」
3.檢查「掛載」路徑
輸入「df -h」檢查「掛載路徑」
4.配置「Splunk」=>「設定」=>「索引」
點選「設定」=>「索引」
建立 索引(Index)「名稱」
5. 配置「Splunk」=>「資料輸入」=>「檔案與目錄」
點選「資料輸入」
點選「檔案與目錄」
點選「新增」
輸入目錄「/mnt」
來源類型 選擇「IIS」
 |
輸入「主機欄位」( IIS HOST IP ) 和「索引值」(windows-iis)
![]()
點選「送出」
點選「開始搜尋」
在「搜尋面板」會自動帶入「SPL」(Search Processing Language) 語法 並 搜尋到「LOG」
↧
S小魚仔S Fortigate 60D 升級 Firmware 5.4.3 Web UI 反應好慢?
第一次使用「Fortigate 60D」防火牆產品,有些使用心得。
「Fortigate」是一臺 功能很強的「防火牆」產品,整合功能非常多,但是必須知道這些功能...開越多..越吃效能,因「硬體」不強。
最佳化配置,關閉不需要「功能」(僅供參考)。
Fortigate 功能很多,但只要開啟「UTM」功能就是「悲劇開始」,建議捨去「UTM」功能,使用「Firewall Policy」、「VPN」、「VLAN」、「Syslog Forward」、「QOS」、「SPAN」、「NetFlow」、「sFlow」這些功能足以應付「處理器」負載。
PS
「Fortigate 60D 並不支援 網路聚合(LACP)」需要購買「Fortigate 100D」以上型號才支援。
參考資料
「Mobile01」-「Fortigate 60D&80D 產品效能&VPN問題」
PS
「Fortigate 60D 並不支援 網路聚合(LACP)」需要購買「Fortigate 100D」以上型號才支援。
參考資料
「Mobile01」-「Fortigate 60D&80D 產品效能&VPN問題」
↧
S小魚仔S Fortigate 5.4.3 Firewall Tunnel SSL VPN
如何「設定」Tunnel SSL VPN,相信各位「出國」朋友都有這個困擾尤其是「對岸」需要「翻牆」,開始實作嚕。
PS
「Tunnel SSL VPN」需要一組 Tunnel(隧道)「Class C」網段。
![]()
1.「Creating A User And A User Group」(建立「使用者」與「群組」)
建立「使用者」
![]()
![]()
![]()
![]()
![]()
建立「群組」加入「使用者」
![]()
![]()
2.「Creating An SSL VPN Portal For Remote Users」(建立 SSL VPN 入口 給 遠端 使用者)
修改「Default」tunnel-access
![]()
「停用」啟動切分隧道
PS. 「此步驟非常重要」
![]()
![]()
3.「Configuring The SSL VPN Tunnel」(建立 SSL VPN 通道)
![]()
1. 設定 介面監聽「WAN」端口
2. 設定 Listen on Port「10443」,請勿使用「443」這樣會和「Web UI」起衝突
3. 允許從任何主機訪問
4. 選擇「自動分配地址」
5. 選擇「相同的客戶端系統DNS」
6. 加入「Group (群組)」=> Portal「Tunnel-Access」
所有其他用戶/群組 =>Portal「Tunnel-Access」
![]()
4.「Adding An Address For The Local Network」( 建置 Internal 網段 聯絡地址)
![]()
![]()
5.「Adding Security Policies For Access To The Internal Network And Internet」(設定 防火牆 規則 sslvpn隧道介面到 Internal (内部)和 Internet (網際網路) )
設定「sslvpn隧道介面 To Internal (內部)」
「Tunnel SSL VPN」需要一組 Tunnel(隧道)「Class C」網段。
1.「Creating A User And A User Group」(建立「使用者」與「群組」)
建立「使用者」
建立「群組」加入「使用者」
2.「Creating An SSL VPN Portal For Remote Users」(建立 SSL VPN 入口 給 遠端 使用者)
修改「Default」tunnel-access
「停用」啟動切分隧道
PS. 「此步驟非常重要」
3.「Configuring The SSL VPN Tunnel」(建立 SSL VPN 通道)
1. 設定 介面監聽「WAN」端口
2. 設定 Listen on Port「10443」,請勿使用「443」這樣會和「Web UI」起衝突
3. 允許從任何主機訪問
4. 選擇「自動分配地址」
5. 選擇「相同的客戶端系統DNS」
6. 加入「Group (群組)」=> Portal「Tunnel-Access」
所有其他用戶/群組 =>Portal「Tunnel-Access」
4.「Adding An Address For The Local Network」( 建置 Internal 網段 聯絡地址)
5.「Adding Security Policies For Access To The Internal Network And Internet」(設定 防火牆 規則 sslvpn隧道介面到 Internal (内部)和 Internet (網際網路) )
設定「sslvpn隧道介面 To Internal (內部)」
1. 建立「名稱」
2. 設定「來源」介面
3. 設定「目的」介面
4. 設定「來源」IP和 群組
5. 設定「目的地址」選擇「Internal_Zone」(聯絡地址)
PS. 建議不使用 All 這樣所有內網都可進行「通訊」
6. 設定「啟用時段」
7. 使用那些「服務」
8. 點選「接受」
9.啟用「NAT」
10. 紀錄合法流量
設定「sslvpn隧道介面 To Internet (網際網路)」
6. 安裝「Fortigate Clinet」工具進行連接
透過「What Is My IP Address?」就可以知道您的「Tunnel SSL VPN」IP 位址。
參考資料
「Fortinet」-「SSL VPN Web And Tunnel Mode」
↧
↧
S小魚仔S Fortigate 5.4.3 限制 Skype 無法使用 (Layer 7)
啟用「用戶應用程式控制」
1. 點選「Security」
2. 點選「應用程式控制」
3. 點選「新增特徵值」
加入「過濾條件」
點選「名稱」
輸入需要 阻擋「程式名稱」
1. 點選「Skype」
2. 點選「使用選擇的特徵碼」
預設「封鎖」,您也可以設定「其它行為」
進行「防火牆」策略配置
1. 點選「政策&物件」
2. 點選「IPv4政策」
3. 增加「應用程式控制」欄位
「應用程式控制」欄位「+」
加入「APP Default」
接著要清除「連線紀錄」
PS. 網路會瞬斷
登入「Skype」就會發現「無法連線」
檢查「Log」與「Policy ID」
如何「解除」應用程式控制
1. 點選「Policy」=>「編輯」
取消「應用程式識別、管理與控制」即可。
↧
S小魚仔S Fortigate 5.4.3 搭建 IPsec VPN
Fortigate 5.4.3 搭建 IPsec VPN 設定起來並不困難,主要是理解和設定,透過下面「示意圖」接著往下「Setup By Setup」。
1.「Creating A User And A User Group」(建立「使用者」加入「群組」)
建立「使用者」
建立「群組」加入「使用者」
2.「Configuring the IPsec VPN using the IPsec VPN Wizard」(使用 IPsec 設定精靈)
使用「IPsec 精靈」幫助您快速設定「IPsec VPN」
3. 輸入「名稱」
4. 點選「遠端存取」
5.點選「遠端設備類型」
3. 「來源」選擇「介面 (WAN)」
4. 輸入「共享密碼」必須「六位數」
6.選擇「群組」
建立「Policy」
1. 目的「Local Interface」
2. 目的「Local Interface IP Range」
PS. 需要事先手動建立「政策&物件」=>「位址」
3. 輸入「IPsec VPN」發放「DHCP 範圍」
4. 保持「預設值」
5. 點選「下一步」
最後步驟「預設值」即可
建立完成「檢查」介面「WAN」端會產生「子介面」(Sub-Interface)
「政策&物件」=>「位址」會自動產生「IPsec_VPN_Range」
3.「Creating A Security Policy For Access To The Internet」
設定「IPsec VPN To Internet (網際網路)」
1. 輸入「用戶名」
2. 選擇 來源「IPsec_VPN」介面 (IPsec VPN Sub-Interface)
3. 選擇 目的「Internet_Zone2」介面 (Internet - Interface)
4. 來源位址「All」
5. 目的位址「All」
6. 時間表「always」
7. 服務「ALL」
8. 採取行動「接受」
9. 啟用「紀錄合法流量」=>「全部會話」
4.「Configuring FortiClient APP」
輸入「名稱」
選擇「IPsec VPN」
點選「設置」
點選「服務器設置」
1. 輸入「FortiGate」( WAN Interface IP )
2. 輸入「共享密碼」
3. 點選「返回」
進行「登入」帳號、密碼,完成收工。
參考資料
↧
S小魚仔S Fortigate 5.4.3 Explicit Web Proxy (網頁代理伺服器)
2. 設定「Network Interface」啟用「Explicit Web Proxy」
1.點選「網路」
2. 點選「介面」
3. 點選「Internal」
啟用「顯式網頁代理」
3. 設定「顯性代理網頁伺服器」
1. 點選「網路」
2. 點選「顯性代理」
3. 啟用「顯性式的網頁代理伺服器」
4. 點選「介面」
5. 設定「通訊協定」8080
4.設定「顯性代理政策」防火牆
1. 選擇「Wan Interface」(出去介面)
2. 選擇「Internal_Zone」(來源介面)
PS. 需要事先手動建立「政策&物件」=>「位址」
3. 目的地址「All」
4.時間表「always」
5. 採取行動「接受」
6. 啟用「Log 紀錄」
5.「瀏覽器 (IE)」設定「Proxy 伺服器」
點選「工具」=>「網際網路選項」
1.點選「連線」
2.點選「LAN 設定」
啟用「Proxy 伺服器」
檢查「顯示式代理政策」流量
參考資料
「FortiGate Cookbook」-「Explicit Proxy (5.2)」
「51cto.Com」-「飞塔防火墙之Explicit Proxy」
「51cto.Com」-「配置Windows NPS作为FortiGate防火墙的RADIUS服务器」
「51cto.Com」-「飞塔防火墙之Explicit Proxy」
「51cto.Com」-「配置Windows NPS作为FortiGate防火墙的RADIUS服务器」
↧