2023年7月20日 星期四

android 11手機無法連上Cisco的無線網路(Cisco/Aironet)

 從Cisco官方論壇有人回答是CSCvu24770這個BUG。

CSCvu24770提到是android 10,但此篇文章也有提到android 11也會遇到。

解決方式就是在WLAN→選擇要調整的SSID→Security→Layer 2

Fast Transition的選項從 Adaptive改成enable。

應該是雙方設備協商會失敗導致,強制啟用Fast Transition,也就是802.11r。

2022年10月21日 星期五

如何將Fortianalyzer的raw data log,過濾出想要的資訊後拋出

我的Router/Switch的syslog是拋到Fortianalyzer作保存。
最近有需求想對關鍵字的log轉拋或是告警,找了老半天終於查到如何去過濾。
如下圖
是用 " ~ " 代表包含.....






參考官方KB

2022年9月16日 星期五

Fortigate發送訊息到Line

 Fortigate如何訊息(比如管理員登出登入、VPN登出登入)透過LINE發送?

基本上就是兩項事情

1.IFTTT

2.Webhook

首先先到IFTTT註冊帳號,並關聯Line服務以及webhook

底下是參考截圖


Line Notify 提供三個 Vaule: Value1、Value2 、 Value3
Recipient 下拉選單可以看到自己的 Line 群組清單,所以可以指定發送訊息到什麼群組內

網址後馬賽克的內容就是金鑰,請不要外流,外流的話就可以透過你的 LINE Notify 發訊息給你(好像也還好XD)




底下是Fortigate的設定部分

Security Fabric > Automation >


URL就是Webhook給你的那一串網址


上圖就是結果~~~



還有注意一點,如果有設定alertmail的,請記得拿掉告警等級,這個會影響Automation
這個也是跟原廠Support找好久才找到原因.....

config alertemail setting
set username "XXX@twca.com.tw"
set mailto1 "XX@twca.com.tw"
set filter-mode threshold
set severity critical
end

Fortianalyzer沒有像Fortigate這種設定方式....希望未來可以支援~



2021年11月11日 星期四

Fortigate 有連線到208.91.112.55的阻擋紀錄

 最近檢查Fortigate的IPS log,發現到有主機連線到208.91.112.55的阻擋紀錄。


查詢208.91.112.55,發現是屬於Fortinet的。


實際瀏覽器連,結果跳出Fortigate的Block頁面(非Fortigate設備上的,而是Fortinet架設在Internet上)。

Goolge得知,原來這個是Fortigate DNS filter 的功能,有問題的就Redirect Portal。

回來檢查DNS filter的Log,的確有看到redirect的紀錄。

其實在DNS filter的設定就可以看到208.91.112.55這個IP了。


最後總結,當用戶端想被植入可疑檔案後,想要連線到特定域名,需要問詢問DNS取得IP。
這個時候,如果有啟用DNS filter就會被Fortigate redirect到208.91.112.55。
可疑檔案取得解析後IP,就會連線到208.91.112.55,而這個連線行為,就被Fortigate的IPS偵測到有問題,最後被阻擋。
才會有連線到Fortinet的IP,結果被自己家的IPS阻擋的狀況.....。

為什麼DNS filter不是阻擋而是用redirect的做法改天來問問廠商......







2019年3月22日 星期五

Cisco WLC Client Exclusion Policies

最近在配置Cisco WLC的MAC Filtering遇到個問題。

user網卡在SSID-1有在白名單內,而SSID-2沒有。

如果user先連到SSID-2,會無法連線,這是正常行為。

然後user在連線到SSID-1,會發生無法連線狀況。

要請user等一段時間再連SSID-1,或是管理者在WLC GUI的client,

把該網卡後給remove,這邊會看到網卡號連到SSID為SSID-2,IP為0.0.0.0。


目前找到的解法是,到Security→Wireless Protection Policies→Client Exclusion Policies
Excessive 802.11 Association Failures
Excessive 802.11 Authentication Failures
Excessive 802.1X Authentication Failures
把這三個取消



F5 BIGIP I2000開機

紀錄一下
F5 BIGIP I2000開機不像之前機型插電就好。
還要到LCD,System>Power on,才會開機正常。

2018年9月25日 星期二

F5 LTM 內部設備要存取Virtual Server

目的:
內部設備要存取Virtual Server
比如
172.16.2.1要存取10.2.2.222到172.16.2.200與172.16.2.100,
172.16.1.1要存取10.1.1.111到172.16.1.200與172.16.1.100。

如果不設定會不通,因為是去回不同路,過去會帶F5或virtual server的ip,但回來會回到原本的IP。

設定方式:
Virtual Server的source address translation選擇Auto Map、source port 選Preserve

如果選擇automap,那會帶outgoing floating IP (只有單台就是 outgoing interface IP)出去

LAB架構:


設定截圖:

參考:
pool members can't connect to their own Virtual Server