Fortinet 60D tweede public IP op interface - Netwerken

vrijdag 18 augustus 2017 16:33

Acties:

Topicstarter

Goedemiddag medetweakers,

Ik krijg binnenkort een Fortinet 60D voor mijn neus bij een klus, die zit op dit moment met een SFP direct op KPN corporate glas. Hier hebben zij 4 publieke IP adressen op beschikbaar. Het probleem is echter dat ze totaal geen verstand hebben van de router die ze hebben.

Ze hebben nu maar 1 IP in gebruik en hebben daar hun eigen interne netwerk achter zitten.

Nou komen wij bij dat pand in en willen graag gebruik maken van een van de extra IP adressen van de KPN corporate lijn.

Is het mogelijk in een 60D om deze in een soort van bridging te zetten zodat wij op een vrije interface direct het tweede publieke IP tot onze beschikking hebben?

Andere optie is voor de Fortinet gaan splitsen, maar dit brengt m.i. onnodige kosten met zich mee als bovenstaande een mogelijkheid is.

Iemand ervaring?

Achterhoek | Loxone | PUHZ-SW75YAA + ERSD-VM2D | 12.200wp PV | Zehnder Q600

zaterdag 19 augustus 2017 11:29

Acties:

tagican

Voor zover ik weet beschikt het 60D model niet over een SFP interface, die is er pas vanaf de 100D. Weet je zeker dat er geen device tussen zit? Oplossing zou zijn om er een (goedkope) switch tussen te zetten in dat geval.

zaterdag 19 augustus 2017 11:51

Acties:

WhizzCat

www.lichtsignaal.nl

Ip secondary kan je een twee ip dr op zetten. Kan denk ik ook vanuit de webinterface wel, maar het zit wat verstopt.

Denk wel even goed om je nat en policies.

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

zaterdag 19 augustus 2017 17:17

Acties:

TommyboyNL

HammieDuDe schreef op vrijdag 18 augustus 2017 @ 16:33:
Andere optie is voor de Fortinet gaan splitsen, maar dit brengt m.i. onnodige kosten met zich mee als bovenstaande een mogelijkheid is.

Als <€100 voor een switch al te veel gevraagd is, moet je misschien heroverwegen of het verstandig is om in dat pand een plekje te huren...

zaterdag 19 augustus 2017 17:49

Acties:

Trommelrem

Ja, dat kan. Met een /30 heb je 2 IP adressen tot je beschikking. Een van die IP adressen kun je bridgen. Soms kun je er een switch voor plaatsen, maar dat hangt af van de configuratie. KPN zakelijk glas is niet altijd PPPoE, soms ook gewoon static.

zaterdag 19 augustus 2017 19:37

Acties:

Yariva

Moderator Internet & Netwerken

Power to the people!

Waarom gebruik je niet 1 IP adres op je WAN interface, en gebruik je de overige als VIP adressen? Deze kan je doorzetten naar interne systemen (NAT) zodat de adressen niet verloren gaan. Volgens mij is dit wat je wil

Verder zie ik het nut niet van 2 seperate adressen op de units. Met een failover neemt unit A de adressen van unit B gewoon over. Waarom zou je dit anders willen...

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

zaterdag 19 augustus 2017 23:05

Acties:

kosz

Je kan een VDOM aanmaken in transparent mode, en een inter-vdom link aanmaken met het ROOT VDOM.
Aangezien de fysieke interface al is toegewezen aan het root vdom, zo kan je de interface delen.
Anderzijds kan je het nieuwe VDOM ook in NAT mode aanmaken, (ook met een inter-vdom link).
Op deze manier heb je 2 gescheiden firewalls met alle faciliteiten, zodoende is het niet nodig om daar zelf weer een eigen firewall achter te hangen. Een 60D ondersteund 10 VDOM overigens.
Indien je voor transparent mode kiest, (L2) kan je nog steeds gebruik maken van de srvices van Fortigate zoals antivirus scanning, web filtering, spam filtering en intrusion protection.

zondag 20 augustus 2017 10:13

Acties:

Yariva

Moderator Internet & Netwerken

Power to the people!

kosz schreef op zaterdag 19 augustus 2017 @ 23:05:
Je kan een VDOM aanmaken in transparent mode, en een inter-vdom link aanmaken met het ROOT VDOM.
Aangezien de fysieke interface al is toegewezen aan het root vdom, zo kan je de interface delen.
Anderzijds kan je het nieuwe VDOM ook in NAT mode aanmaken, (ook met een inter-vdom link).
Op deze manier heb je 2 gescheiden firewalls met alle faciliteiten, zodoende is het niet nodig om daar zelf weer een eigen firewall achter te hangen. Een 60D ondersteund 10 VDOM overigens.
Indien je voor transparent mode kiest, (L2) kan je nog steeds gebruik maken van de srvices van Fortigate zoals antivirus scanning, web filtering, spam filtering en intrusion protection.

Wat je zegt klopt helemaal, maar wat heeft dit te maken met de vraag die TS stelde? Hij vraagt hoe hij meerdere IP adressen kan benutten op zijn WAN subnet. Daarvoor zijn helemaal geen VDOM's nodig

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

zondag 20 augustus 2017 10:36

Acties:

kosz

Het is niet zijn WAN, de 60D staat er al en is van de al aanwezige huurder en daar wil de TS ook gebruik van maken.

"Nou komen wij bij dat pand in en willen graag gebruik maken van een van de extra IP adressen van de KPN corporate lijn."

Als ik de huidige partij zou zijn welke de lijn nu al afneemt, zou ik het ws zo oplossen, op basis van de verstrekte informatie.
Iemand zal die 60D toch goed moeten inrichten, ik kan me voorstellen dat je ook iets van bandbreedte management zou willen doen anders levert dat alleen maar gezeik op....

maandag 21 augustus 2017 08:55

Acties:

HammieDuDe

Topicstarter

tagican schreef op zaterdag 19 augustus 2017 @ 11:29:
Voor zover ik weet beschikt het 60D model niet over een SFP interface, die is er pas vanaf de 100D. Weet je zeker dat er geen device tussen zit? Oplossing zou zijn om er een (goedkope) switch tussen te zetten in dat geval.

Hier twijfel ik dus ook al over, ik ben nog niet fysiek op locatie geweest maar er zijn geen "normale" versies van de 60D met SFP, ik zal alleen een rugged versie die dat wel heeft ( maar beetje exotisch model ). Ik neem wel gewoon een extra switch mee, misschien kunnen we vooraf al splitsen. Hoe zit dit trouwens met PPPoE? Als zij met de fortinet al een pppoe verbinding maken, kan ik dat dan ook nog doen voor een van de andere IP's?

kosz schreef op zondag 20 augustus 2017 @ 10:36:
Het is niet zijn WAN, de 60D staat er al en is van de al aanwezige huurder en daar wil de TS ook gebruik van maken.

"Nou komen wij bij dat pand in en willen graag gebruik maken van een van de extra IP adressen van de KPN corporate lijn."

Als ik de huidige partij zou zijn welke de lijn nu al afneemt, zou ik het ws zo oplossen, op basis van de verstrekte informatie.
Iemand zal die 60D toch goed moeten inrichten, ik kan me voorstellen dat je ook iets van bandbreedte management zou willen doen anders levert dat alleen maar gezeik op....

Klopt, hier moeten we bij vooraf splitsing gewoon een duidelijke afspraak over maken. Ze hebben 100mbit liggen, wij zelf hebben dat bij lange na niet nodig dus ik denk dat ik onze kant gewoon ga cappen op 20.

Maar thanks voor de info, ik ben als het goed is woensdag/donderdag op die locatie en dan ga ik maar eens kijken wat de mogelijkheden zijn, heb in ieder geval wat info waar ik verder mee kan.

Achterhoek | Loxone | PUHZ-SW75YAA + ERSD-VM2D | 12.200wp PV | Zehnder Q600

maandag 21 augustus 2017 09:18

Acties:

Trommelrem

HammieDuDe schreef op maandag 21 augustus 2017 @ 08:55:Als zij met de fortinet al een pppoe verbinding maken, kan ik dat dan ook nog doen voor een van de andere IP's?

Nee. Het apparaat dat PPPoE doet, zal het /30 moeten uitdelen. Je kunt echter bij KPN verzoeken om je verbinding op statisch te zetten ipv PPPoE.