BASIC FORTIGATE : 2 WAN (ECMP) FAILOVER, LOAD BALANCE, & POLICY TRAFIC PORT
pada kali ini kita akan mencoba untuk simulasi Fortigate dengan 2 WAN, dengan metode ECMP.
Equal cost multi-path (ECMP), adalah mekanisme yang memungkinkan FortiGate menyeimbangkan beban lalu lintas yang dirutekan melalui beberapa gateway.
dengan metode ECMP ini, kita akan menerapkan FAILOVER, LOAD BALANCE, & POLICY TRAFIC PORT
Basic penggunaan Eve-NG disini
BAB 1 : SETTING ISP-SWASTA
- TAMBAHKAN NODE ROUTER UNTUK ISP SWASTA
2. SETTING ISP SWASTA 117.60.60.1/29 PADA MIKROTIK TERSEBUT
IP DHCP yang kita dapat dari EVE-NG 172.16.64.7 (pastikan mikrotiknya sudah bisa internet lewat EVE-NG)
setting DNS ISP-SWASTA
3. TAMBAHKAN NODE FORTINET VER 7.0
ISP-SWASTA ini mengunakan IP 117.60.60.1/29
IP PUBLIC nya : 117.60.60.5
4. SETTING IP, DNS, STATIC ROUTE ISP-SWASTA DI FORTINET
jalankan node fortinet
admin
password (enter)
new password (isi password)
confirm passwprd (isi password)
config system interface
edit port1
set alias WAN-1
set role wan
set mode static
set ip 117.60.60.5/29
set allowaccess ping https http ssh
end
setting DNS static ISP-SWASTA
config system dns
set primary 117.60.60.1
end
setting static route ISP-SWASTA
config router static
edit 1
set dst 0.0.0.0/0.0.0.0
set gateway 117.60.60.1
set device port1
set distance 10
end
note: pastikan fortinetnya sudah bisa internet
5. SETTING PORT FORWARDING di MIKROTIK ISP-SWASTA
Untuk memudahkan kita setting fortinet via WEB Gui, maka di perlukan port forwading di sisi mikrotik.
IP yang kita dapat dari EVE-NG 172.16.64.7
kita bisa langsung akses mikrotik dengan ip dari eve-ng tersebut
Kita setting NAT nya masquered
Src .Address : 117.60.60.0/29
Dst.Address 117.60.60.5 (IP PUBLIC)
selanjutkan kita setting forwadingnya
penjelasannya :
saat kita akses IP 172.16.64.7 di browser PC akan di arahkan ke IP Fortinet 117.60.60.5
BAB 2 : SETTING ISP-BUMN
1. TAMBAHKAN NODE ISP-BUMN
ISP BUMN ini mengunakan IP 1203.10.10.1/29
IP PUBLIC nya : 203.10.10.5
2. SETTING ISP-BUMN 203.10.10.1/29 PADA MIKROTIK TERSEBUT
IP DHCP yang kita dapat dari EVE-NG 172.16.64.10 (pastikan mikrotiknya sudah bisa internet lewat EVE-NG)
setting DNS ISP-BUMN.
3. SETTING PORT FORWARDING di MIKROTIK ISP-BUMN
Untuk settingnya, bisa di lihat pada BAB A no.5 tinggal di sesuaikan saja IP
Src .Address : 203.10.10.0/29
Dst.Address 203.10.10.5 (IP PUBLIC)
note : jika sudah sesuai, maka fotinet nantinya bisa di akses dengan ip http://172.16.64.10
BAB 3: SETTING FORTINET
1. SETTING IP ISP-BUMN DI FORTINET
akses fortinet dengan IP http://172.16.64.7
Setting Interface PORT 2 dengan IP ISP-BUMN 203.10.10.5/29
beri Comments : ISP-BUMN
note : jika tidak muncul HTTP, setting via CLI set allowaccess ping https http ssh, seperti no.4
2. SETTING DNS DENGAN IP ISP-SWASTA & ISP-BUMN
akses fortinet dengan ip http://172.16.64.10, Masukan DNS Secondary IP 203.10.10.1
2. SETTING STATIC ROUTE ISP-SWASTA & ISP-BUMN
3. SETTING PORT 4 SEBAGAI LAN
IP LAN : 192.168.10.1/24
4. SETTING ADDRESS UNTUK LAN
14. SETTING POLICY AGAR LAN BISA INTERNET
POLICY : LAN TO WAN-1
POLICY : LAN TO WAN-2
POLICY SUDAH TERBUAT
BAB 4. SETTING NODE WINDOWS
1. TAMBAHKAN NODE WINDOWS
2. JALANKAN NODE WINDOWS
Pada tahap ini node windows sudah bisa internet via WAN-1 (ISP-SWASTA)
3. LOG TRAFIC INTENET
Terlihat trafik internet via WAN-1
cek routing table via cli
get router info routing-table all
S* berarti trafik utama lewat port tersebut yaitu, port1
get router info routing-table database
BAB 5 : FAILOVER 2 WAN
FAILOVER secara singkat ialah apabila salah satu ISP down,trafik akan dialihkan ke ISP yang satunya.
casenya: ISP-SWASTA sedang down
- ROUTER ISP-SWASTA DISABLE
sekarang kita coba disable ether2 pada mikrotik ISP-SWASTA
langsung tidak bisa internet, padahal kita ada ISP-BUMN yang tidak ada gangguan, dan DNS & Route sudah benar seperti BAB 3
lalu di manakah yang kurang … ???
yaaaa kita belum setting HEALT CHECK pada firewall fortinet kita.
2. DELETE LOG TRAFIK
terlebuh dahulu kita delete log forward trafiknya
execute log delete-all
3. SETTING HEALTH CHECK PADA FORTINET.
jalankan fortinet via cli
config system link-monitor
edit WAN-1-monitor
set srcintf port1
set server 8.8.8.8
set gateway-ip 117.10.10.1
set protocol ping
set update-static-route enable
endconfig system link-monitor
edit WAN-2-monitor
set srcintf port2
set server 8.8.8.8
set gateway-ip 203.10.10.1
set protocol ping
set update-static-route enable
end
sekarang trafik sudah lewat ISP-BUMN, dan bisa di lihat di forward trafik sudah ke WAN-2
kita cek tabel routingnya, sudah mengarah ke port 2
sekarang coba enable kan kembali ISP-SWASTA
delete log terlebih dahulu
execute log delete-all
pada tahap ini kita sudah menerapkan FAILOVER pada firewall kita.
BAB 6 : LOAD BALANCE TRAFIK WAN-1 & WAN-2
untuk menerapkan load balance agar trafik nya terbagi ke WAN-1 & dan WAN-2, maka posisi nilai Distance & priority harus sama.
- SETTING STATIC ROUTES
nilai Distance 10 & Priority 0 di WAN-1 & WAN-2
2. SETTING ECMP
Equal cost multi-path (ECMP), adalah mekanisme yang memungkinkan FortiGate menyeimbangkan beban lalu lintas yang dirutekan melalui beberapa gateway.
untuk settingnya via CLI
config system settings
set v4-ecmp-mode source-ip-based
delete log terlebih dahulu, untuk melihat hasilnya
execute log delete-all
3. TES BROWSING di node PC
4. Terlihat trafik terbagai 2 WAN-1 & WAN-2
BAB 7 : POLICY ROUTE
pada contoh ini kita akan coba
delete log terlebih dahulu, untuk melihat hasilnya
execute log delete-all
pada tahap ini kita sudah belajar untuk mendirect port 80 http lewat WAN-2