Archive for the ‘Fortigate’ Tag

HUAWEI E3372 a FortiGate

Běžně provozuji routery od Fortinetu s 3G/LTE USB modemem, který konfiguruji jako backup pro případ výpadku primární linky. Naposledy se mi ale dostal do rukou modem Huawei E3372, brandovaný T-Mobile, který byl lehce nepoddajný a FortiGate se přes něj odmítal připojit.

Po průzkumu internetu jsem objevil problém – modem se hlásí primárně jako USB disk (s ovladači, software apod.), nikoliv jako modem. Protože obsah internetových diskuzí mizí, ale JiříkovoEgo přetrvává, slouží tento text jako archiv Veselý obličej

Nejprve modem připojte k počítači, spusťte Správce zařízení – Modemy – HUAWEI Mobile Connect –3G Modem a otevřete kartu Modem. Zapamatujme si, na jakém COM portu je zařízení připojeno.

Nyní spusťte Putty a připojte se k COM portu zjištěnému výše.

Putty

Nyní použijeme AT příkaz, aby se zařízení tvářilo jako modem. Může se stát, že co píšete v Putty neuvidíte.

at^setport="ff;10,12,16,A1,A2"

Protip: Pokud si chceme zjistit aktuální konfigurace, třeba kvůli budoucí obnově, použijte příkaz

at^setport?

Alternativně můžeme nastavit preferenci LTE sítí před 3G a 2G

AT^SYSCFGEX="030201",3FFFFFFF,0,2,800C5,,

Mimochodem, ^ se píše jako ALT+094 Veselý obličej

Nyní můžeme modem připojit do FortiGate a nakonfigurovat ho klasickým způsobem

config system modem
    set status enable
    set auto-dial enable
    set phone1 "*99***1#"
    set extra-init1 "at+cgdcont=1,\"ip\",\"internet.t-mobile.cz\""
    set altmode disable
    set distance 15
end

Advertisements

Fortinet Fortigate a špatně fungující SIP

V případě provozu sítě přes NAT fungují v zařízení Fortigate tzv. session-helper. Tato funkce pomáhá konkrétnímu TCP provozu překonávat “nástrahy” NATu. To je velmi užitečná funkce, např. pro FTP provoz, kde sekundární port může být dynamický.

Problém však nastává u SIP provozu. Některé ústředny nemají tento protokol korektně implementovány. Pak nastává stav, kdy po zazvonění telefonu jedna strana hovor neslyší.

V tomto případě lepšího stavu docílíme vypnutím konkrétního session helperu. Toho docílíme přes CLI konzoli boxu.

Nejprve je nutné vypsat všechny session-helpers v boxu obsažené.

show system session-helper

Následně si poznamenejte čísla pro sip, H323 a ras.

Následně tyto protokoly odstraňte

config system session-helper
delete 13
delete 3
delete 2
end

Postupujte vždy od nejvyšší hodnoty, po jejím smazání se vždy pořadí mění!

V některých případech je nutné box restartovat.