总公司与分公司的FortiGate防火墙,透过IPSec VPN连接,分公司的上网流量全部导到总公司,由总公司出去,但分公司的防火墙无法收到韧体更新与下载,请问是要设定分公司的Policy route 让其从wan出去更新,还是可以设定从总公司wan出去取得更新,或是有其他设定方式,具体该如何设定? 谢谢
3 个回答
- 旧至新
- 新至旧
- 最高Like数
0
cses902217
iT邦新手 4 级 ‧ 2024-11-01 14:27:49
最佳解答
打开进阶功能的本地对外流量路由
然后把网路\\本地对外流量路由\\系统FortiGuard 和系统DNS这两项的输出介面手动改成你想要WAN
这问题我同事以前有遇过类似的需求
台湾所有的流量都S2S丢往日本总公司但是台湾的IT不想跟日本打交道请对方开规则和路由
所以改成fortinet的服务都走自身的WAN IP出去
-
2 -
-
snoopy
iT邦新手 4 级 ‧
2024-11-04 09:41:37
谢谢你的,这就是我需要的
FortiGate的Firmware虽然可以下载后更新,但近期Fortinet的网站更新后,FortiSwitch, FortiAP的Firmware都无法下载,日后可能都要购买维护才能下载,但是现在如果FortiSwitch与FortiAP是连在FortiGate下,仍是可以透过连网方式更新,因此我才会想知道如何设定FortiGate自身连外的介面
修改
mytiny
iT邦超人 1 级 ‧
2024-11-06 10:03:37
建议不要透过Fortiguard联网去更新FortiAP及Fortiswitch
一定要採用韧体档案由电脑上传的方式
因为有遇过自动联网升级过程中失败
然后设备变得无法开机的状况
只能送去原厂修复了
修改
0
bluegrass
iT邦高手 1 级 ‧ 2024-10-30 17:22:02
FORTIGATE自身是受STATIC ROUTE影响
你BRANCH应该有两个STATIC ROUTE
0.0.0.0/0, VPN TO HQ
HQ WAN IP/32 , ISP GW
另VPN上应该有一组点对点的IP来防止BRANCH用错SRC IP去HQ
0
mytiny
iT邦超人 1 级 ‧ 2024-10-30 18:49:56
分公司的防火墙无法收到韧体更新与下载
这事一开始就不应该发生的
当初协助建置的SI应该负责任
简单说明为什么
因为分公司防火墙上有很多介面IP
任一个介面IP能够上网就可以更新韧体
如果不能就是故意为之,或是疏失
网路架构设计之初就应察觉
话说回来
只要是有买设备保固
不用上网也可以做韧体更新
连这个SI也做不到
会不会太夸张了一些
-
1 -
-
纯真的人
iT邦大师 1 级 ‧
2024-10-31 10:31:25
没有网路~
也是可以本地上传更新档更新吧@@?
只是管理者要先去下载更新档...
再透过自己的电脑上传更新档..
修改