Merhaba,
Bu makalemizde Fortigate firewall cihazında Policy Route konusunu anlatacağım.
Öncelikle Policy Route işlemini ne zaman kullanmalıyız, bunu bilmeliyiz.
Networkümüzde birden fazla Wan link (Internet) kullandığımızı varsayalım. Local networkümüzde sunucu ve clientlarımızı ya da başka cihazlarımızı vlanlar ile farklı networkler üzerinde tanımlayabilir ve her birini farklı Wan link üzerinden internete çıkarabiliriz. İşte Policy Route bu aşamada devreye girer. Policy Route birden fazla Wan link olduğunda, belirlediğimiz cihazların istediğimiz Wan link üzerinden internete çıkmasını sağlar. Firewall cihazları Policy Route (diğer marka cihazlarda bu isim değişmektedir) tanımları olmazsa, kullanacağı Wan linkini routing table üzerinde tanımlı olan Static Route’ların (Juniper’da Destination Routing olarak geçer) Metric ( ya da Distance, Priority) değerine göre belirler.
Policy Route Juniper firewall cihazlarındaki Source Base Routing ya da Source NAT ile aynı işlevi görür.
Fortigate firewall cihazlarında Policy Route konfigürasyonunu ya ara yüzden ya da CLI üzerinden yapabilmekteyiz. Fortigate ürünlerinde modele göre bu değişmektedir.
Konuyu lab ortamında inceleyelim;
Gördüğünüz gibi Fortigate 110C model firewall cihazımızda 3 adet WAN link var (Şuan kullanılan GsHDSL ve MetroEthernet).
Resim-1
Şimdi ise Policy Route tanımlamamızı yapalım. Resimde de göreceğiniz gibi gayet basit bir işlem.
Resim-2
Dikkat edilecek husus gateway bölümüne firewall’un interface IP adresini yazmamamız gerektiği. Bu bölüme Wan linkinizde tanımlı olan gateway IP adresini yazmamız gerekmekte. Bu bilgi size public IP aldığınız ISP tarafından verilecektir.
Policy Route’tan önce Wan linkini kullanmak için yapmamız gereken ayarlar olacak. Bunlar konumuz dışında olduğu için sadece başlıklar olarak yazıyorum.
- Wan linklerimiz için Static Route Ekleme
- Incoming to Outgoing Policy oluşturma
Fortigate firewall cihazlarında eğer arayüz ile policy route ayarı yapılamıyorsa, CLI üzerinden yapabiliriz.
Firewall cihazımıza login olduktan sonra Dashboard (İsterseniz SSH-Telnet ile de bağlanabilirsiniz) üzerinde CLI Console üzerinden işlem yapabilirsiniz.
Resim-3
- Show router policy bu komut ile firewall cihazında tanımlı Policy Route’ları görebilirsiniz.
Resim-4
- Config router policy bu komut ile policy route konfigürasyonumuza başlıyoruz.
Resim-5
- Edit 9 bu Komut ile table value no’su 9 olan bir route policy oluştururuz. İsterseniz resimde de görüldüğğü üzere var olan route policy tanımlamalarınıda edit’leyebilirsiniz.
Resim-6
- Set input-device “internal” bu komutta firewall cihazınızdaki local networkünüzün bağlı olduğu interface ismini yazmanız gerekmekte.
Resim-7
Resim-8
- Set src 192.168.2.0 bu komut ile local networkünüzü subnet mask değeri ile beraber yazacaksınız.
- Set gateway x.x.x.x bu komut ile Wan linkinizin kullandığı gateway adresini yazacaksınız.
- Set output-device “wan1” bu komut ile internete çıkış için kullanacağınız interface ismini yazacaksınız.
Resim-9
Eğer policy route’lar ile ilgili öncelik tanımlamak isterseniz. Move komutu ile belli bir sıralama oluşturabilirsiniz. Bunun için:
- Config router policy
- Move 3 before 1 bu komut ile table value değeri 3 olan Policy Route tanımını table value 1 olan policy route’un önüne çekmiş oluruz.
- Move 4 after 5 bu komut ile table value değeri 4 olan Policy Route tanımını table value 5 olan policy route’un sonrasına çekmiş oluruz.
Bu makalemizde Fortigate firewall cihazında Policy Route konusunu işledik. Bir sonraki makalede görüşmek üzere.
merhaba zafer hocam elinize sağlık.
şimdi bende adsl var idi ikinci bir metro internet aldık. wan1 (adsl) wan2 den metro veriyorum. ama bazı kullanıcılar wan1 den bazıları wan2 den nete çıksın istiyorum. Tam olarak static route mı? yoksa policy route mı yazmam gerekiyor. yardımcı olabilirmisiniz?
teşekkürler
saygılarımla.
Merhaba
Policy route ile istediğiniz işlemi yapabilirsiniz.
Merhaba,
Firewall’da iki tane lokal bloğum (10.10.1.0/24 – vlan1 ve 10.10.2.0/24 – vlan2), bir tane internet (WAN_int) bir tane de MPLS (WAN_mpls) portum var. Merkez MPLS ve internet devrem farklı bir lokasyonda bulunuyor. Amacım, 10.10.1.0/24 bloğunu merkez MPLS devre üzerinden internete çıkarmak. PBR yaptım ancak iki lokal bloğun haberleşmesi kesildi. Sorun nereden kaynaklı olabilir ve bu amaca yönelik ne yapmam gerekir?
Merhaba,
İşlemi nasıl yaptınız ekran görüntüsü var mı acaba? PBR policy’si sizin diğer policy’nizin alt sırasında olmalı yazdıklarınızdan anladığım kadarıyla. Bu şekilde deneyebilir misiniz?
Static route eklemeden bu işlemi yapabilir miyiz? iki adet vlan’ım var vlan1 wan1 üzerinden gidiyor ve onun için static route tanımlı wan2 içinse bir static route tanımlı değil. sadece wan2 üzerinden internete çıkacak vlan2 için policy route yazarak bu sorunu çözebilir miyiz?
Çözebilirsiniz tabiki.
Yazınız için teşekkür ederim. Birden fazla wan kullandığımızda policy route yazmak çok mantıklı oluyor fakat fortigate cihazımda sonlanmış olan vlanları haberleştirmek istediğimde de yada wan -> lan kuralları yazmak istediğimde ilave olarak policy route da yazmam gerekiyor. Normalde bu vlanların gateway adresi zaten fortigate olduğu için neden böyle birşey yapma durumu ortaya çıkıyor olabilir.