Open in app

Sign in

Write

Sign in

BASIC FORTIGATE : 2 WAN (ECMP) FAILOVER, LOAD BALANCE, & POLICY TRAFIC PORT

Budi Wibowo
7 min readJun 27, 2024

--

pada kali ini kita akan mencoba untuk simulasi Fortigate dengan 2 WAN, dengan metode ECMP.

Equal cost multi-path (ECMP), adalah mekanisme yang memungkinkan FortiGate menyeimbangkan beban lalu lintas yang dirutekan melalui beberapa gateway.

dengan metode ECMP ini, kita akan menerapkan FAILOVER, LOAD BALANCE, & POLICY TRAFIC PORT

Basic penggunaan Eve-NG disini

BAB 1 : SETTING ISP-SWASTA

  1. TAMBAHKAN NODE ROUTER UNTUK ISP SWASTA

2. SETTING ISP SWASTA 117.60.60.1/29 PADA MIKROTIK TERSEBUT

IP DHCP yang kita dapat dari EVE-NG 172.16.64.7 (pastikan mikrotiknya sudah bisa internet lewat EVE-NG)

setting DNS ISP-SWASTA

3. TAMBAHKAN NODE FORTINET VER 7.0

ISP-SWASTA ini mengunakan IP 117.60.60.1/29

IP PUBLIC nya : 117.60.60.5

4. SETTING IP, DNS, STATIC ROUTE ISP-SWASTA DI FORTINET

jalankan node fortinet

admin
password (enter)
new password (isi password)
confirm passwprd (isi password)
config system interface
edit port1
set alias WAN-1
set role wan
set mode static
set ip 117.60.60.5/29
set allowaccess ping https http ssh
end

setting DNS static ISP-SWASTA

config system dns
set primary 117.60.60.1
end

setting static route ISP-SWASTA

config router static
edit 1
set dst 0.0.0.0/0.0.0.0
set gateway 117.60.60.1
set device port1
set distance 10
end

note: pastikan fortinetnya sudah bisa internet

5. SETTING PORT FORWARDING di MIKROTIK ISP-SWASTA

Untuk memudahkan kita setting fortinet via WEB Gui, maka di perlukan port forwading di sisi mikrotik.

IP yang kita dapat dari EVE-NG 172.16.64.7

kita bisa langsung akses mikrotik dengan ip dari eve-ng tersebut

Kita setting NAT nya masquered

Src .Address : 117.60.60.0/29

Dst.Address 117.60.60.5 (IP PUBLIC)

selanjutkan kita setting forwadingnya

penjelasannya :

saat kita akses IP 172.16.64.7 di browser PC akan di arahkan ke IP Fortinet 117.60.60.5

BAB 2 : SETTING ISP-BUMN

1. TAMBAHKAN NODE ISP-BUMN

ISP BUMN ini mengunakan IP 1203.10.10.1/29

IP PUBLIC nya : 203.10.10.5

2. SETTING ISP-BUMN 203.10.10.1/29 PADA MIKROTIK TERSEBUT

IP DHCP yang kita dapat dari EVE-NG 172.16.64.10 (pastikan mikrotiknya sudah bisa internet lewat EVE-NG)

setting DNS ISP-BUMN.

3. SETTING PORT FORWARDING di MIKROTIK ISP-BUMN

Untuk settingnya, bisa di lihat pada BAB A no.5 tinggal di sesuaikan saja IP

Src .Address : 203.10.10.0/29

Dst.Address 203.10.10.5 (IP PUBLIC)

note : jika sudah sesuai, maka fotinet nantinya bisa di akses dengan ip http://172.16.64.10

BAB 3: SETTING FORTINET

1. SETTING IP ISP-BUMN DI FORTINET

akses fortinet dengan IP http://172.16.64.7

Setting Interface PORT 2 dengan IP ISP-BUMN 203.10.10.5/29

beri Comments : ISP-BUMN

note : jika tidak muncul HTTP, setting via CLI set allowaccess ping https http ssh, seperti no.4

2. SETTING DNS DENGAN IP ISP-SWASTA & ISP-BUMN

akses fortinet dengan ip http://172.16.64.10, Masukan DNS Secondary IP 203.10.10.1

2. SETTING STATIC ROUTE ISP-SWASTA & ISP-BUMN

Gambar : Satic Route WAN-1 (ISP Swasta)
Gambar : Satic Route WAN-1 (ISP BUMN)
hasil static route

3. SETTING PORT 4 SEBAGAI LAN

IP LAN : 192.168.10.1/24

4. SETTING ADDRESS UNTUK LAN

14. SETTING POLICY AGAR LAN BISA INTERNET

POLICY : LAN TO WAN-1

POLICY : LAN TO WAN-2

POLICY SUDAH TERBUAT

BAB 4. SETTING NODE WINDOWS

1. TAMBAHKAN NODE WINDOWS

2. JALANKAN NODE WINDOWS

Pada tahap ini node windows sudah bisa internet via WAN-1 (ISP-SWASTA)

3. LOG TRAFIC INTENET

Terlihat trafik internet via WAN-1

cek routing table via cli

get router info routing-table all

S* berarti trafik utama lewat port tersebut yaitu, port1

get router info routing-table database

BAB 5 : FAILOVER 2 WAN

FAILOVER secara singkat ialah apabila salah satu ISP down,trafik akan dialihkan ke ISP yang satunya.

casenya: ISP-SWASTA sedang down

  1. ROUTER ISP-SWASTA DISABLE

sekarang kita coba disable ether2 pada mikrotik ISP-SWASTA

langsung tidak bisa internet, padahal kita ada ISP-BUMN yang tidak ada gangguan, dan DNS & Route sudah benar seperti BAB 3

lalu di manakah yang kurang … ???

yaaaa kita belum setting HEALT CHECK pada firewall fortinet kita.

2. DELETE LOG TRAFIK

terlebuh dahulu kita delete log forward trafiknya

execute log delete-all

3. SETTING HEALTH CHECK PADA FORTINET.

jalankan fortinet via cli

config system link-monitor
edit WAN-1-monitor
set srcintf port1
set server 8.8.8.8
set gateway-ip 117.10.10.1
set protocol ping
set update-static-route enable
end

config system link-monitor
edit WAN-2-monitor
set srcintf port2
set server 8.8.8.8
set gateway-ip 203.10.10.1
set protocol ping
set update-static-route enable
end

sekarang trafik sudah lewat ISP-BUMN, dan bisa di lihat di forward trafik sudah ke WAN-2

kita cek tabel routingnya, sudah mengarah ke port 2

sekarang coba enable kan kembali ISP-SWASTA

delete log terlebih dahulu

execute log delete-all

pada tahap ini kita sudah menerapkan FAILOVER pada firewall kita.

BAB 6 : LOAD BALANCE TRAFIK WAN-1 & WAN-2

untuk menerapkan load balance agar trafik nya terbagi ke WAN-1 & dan WAN-2, maka posisi nilai Distance & priority harus sama.

  1. SETTING STATIC ROUTES

nilai Distance 10 & Priority 0 di WAN-1 & WAN-2

2. SETTING ECMP

Equal cost multi-path (ECMP), adalah mekanisme yang memungkinkan FortiGate menyeimbangkan beban lalu lintas yang dirutekan melalui beberapa gateway.

untuk settingnya via CLI

config system settings
set v4-ecmp-mode source-ip-based

delete log terlebih dahulu, untuk melihat hasilnya

execute log delete-all

3. TES BROWSING di node PC

4. Terlihat trafik terbagai 2 WAN-1 & WAN-2

BAB 7 : POLICY ROUTE

pada contoh ini kita akan coba

delete log terlebih dahulu, untuk melihat hasilnya

execute log delete-all

pada tahap ini kita sudah belajar untuk mendirect port 80 http lewat WAN-2

Fortigate
Firewall Fortigate
Eve Ng

--

--

Budi Wibowo

Written by Budi Wibowo

13 Followers

www.hellobudi.com

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams