上手飞塔FortiGate-30E，试水企业级防火墙做家用路由（已补充虚拟专网实测）

leonqin

生命不息，折腾不休~
最近反复折腾网络设备，路由、交换机、光猫，虽然相比论坛里各种大咖来说，我都是小打小闹，不过也是有点耗时耗力的，尤其折腾路由为了不影响家里上网，经常得到家里人都睡了半夜来弄。。 。但还是喜欢折腾啊，有钱有有钱的折腾，没钱有没钱的折腾。这不，我又去小黄鱼淘了个不错的好货，FortiGate-30E，FortiNet的企业防火墙，上一代的桌面机型里最低端的一款。瞧瞧下边这个外观，至少是蛮小巧的，也不难看，放家里当桌面路由器是可以的。

巴掌大，宽度210mm，和我现在的主路由TP R5408PEF-AC是基本一致，和我的新交换机SE2109也一样。


飞塔产品经典的红白配色，看起来就感觉和安全、防火相关。


1个千兆WAN口，4个千兆LAN口，1个Console调试口。这样的配置坛友们显然是瞧不上的了，连个2.5G都没得，SFP+也没有。。本来就是五六年前的产品嘛，在当时还是可以的，放到今天自然是落伍。不过，我家电信宽带500M，上行60M，这个做路由倒也没有瓶颈就是。


正面是这样的，各种接口和指示灯，都是黄绿色的，设计上中规中矩，毕竟是低端型号。


灯的亮度有点高，要放在家里电视柜上，估计得弄个遮光的胶来贴一下才行，之前我的H3C交换机也是这样，要不晚上有点刺眼。


入手这个之前和卖家（一个网络技术大咖）聊了好久，相谈甚欢，得到很多指点。后来为了保险起见，还京东买了根Console调试线，以防修改IP后没法访问之类的情况下得console连接去设置。


这条console线也有价值，之前没有玩过这样的，刚才也接起来试了，可以serial方式登录，但之前要先安装线的驱动，CH340C芯片的，否则win11不认。

接下来说一下这个正主儿的路由功能。
首先，这是一个防火墙，正职是防火墙和其他安全防护，然后兼做路由器。所以呢，安全相关的功能很多，很全，路由功能呢，实际上也不差，也算很全，该有的都有，包括VLAN等，但也导致设置相对复杂，功能菜单太多太深，不经过一番预研，上来就当普通路由器用，估计够呛。不过，如果仅仅只是拨号上网，还是简单的。

先看下管理界面的样子。这是我最最喜欢的部分，仪表板 dashboard。这些动态图表，都是当前仪表板上的一个个“微件”，是可以自行调整大小、添加和删除的。目前我这个是放上了系统信息、CPU占用率、内存占用率、会话数、带宽、Top目标字节等一些我认为比较值得关注的实时图表。还可以添加更多的微件，抑或增加多一个仪表板。就这一点来说，系统状态信息和实时数据的显示之全面丰富，目前的消费级路由器，估计没几个能做到吧。相比之下TP的路由器真的太阳春了，整个主界面看不到啥信息，而且还没动态图。




回到路由器本身的功能，拨号上网，到网络-接口里设置一下wan口即可，我现在因为是在公司，随便扯了工位上接出来的线接到wan口，所以用的DHCP模式。回到家里得改成pppoe，输入宽带账号密码就可以连接了。这些图形化操作，都可以直接ssh或者console连接后用命令行来做，命令行输入提交后，页面上刷新就能看到变化。这个系列产品都是这样，命令行操作实际上是主要的，图形化界面只是方便用户而已，甚至，在图形化界面上，所有功能都可以点击左上角的命令行icon来打开命令行窗口直接敲，逼格满满啊。

这是目前的wan和lan口情况。lan的4个口已经默认设置了硬件交换和DHCP，DHCP的网关是会跟随lan口的IP地址变化的。不知道是这个版本默认就有这个lan的硬件交换，还是说是卖家在发货前帮弄的。有了这个设置，我笔记本连上其中一个lan口，就可以上网了。之前看官方的一些文档和案例，还需要自己创建静态路由和NAT，现在感觉没那么啰嗦。


这是wan的DHCP设置。下班回家后晚点可以接上光猫改成pppoe了。


再简单看一下其他的功能，例如我最常用的端口映射（转发），飞塔这边叫做虚拟IP（VIP）。创建也简单，选择入口port，目标IP，端口之类就行。但还没试过是否这样就OK，今晚就知道了。


V PN功能，这个应该是飞塔防火墙的卖点之一，非常丰富的V PN模式和特性支持。PPTP、L2TP这种常见的自不必说，还支持SSL V PN，web的，client的，以及其他的。在官方文档和案例里，光是V PN这部分就有很长的章节内容，够学习和折腾很久了。最近我是喜欢用L2TP来访问家里的设备，不必搞一堆端口转发了，安全性也高。完善的V PN功能，也是我买这台飞塔的初衷之一。


别的再看一下，可以支持和开启的功能还有很多，如下图。


特别说一下，这台机器，成色很新，至少9成新。但怎么也是好几年前的型号了，出厂已久，所以适配的license早已过期了，因此有些安全防护功能就不能用了，但绝大多数功能，最主要的路由功能，防火墙功能，V PN这些，完全不受license的影响。而且这台是没有注册绑定过的，所以我刚刚已经注册到官方的FortiCloud平台去了，可以在线远程管理（和TP的商云平台类似），还能下载官方APP来管理。但这些我还没试，毕竟刚刚到手几个小时，仅仅开机连线测试了基本功能而已。

更进一步的使用体验，例如很重要很关键的，对于家用路由器来说，宽带拨号性能，网速等这些。从卖家在产品页面写的详细描述来说，他做了很充分的测试，这台FG-30E，完全能应付千兆以内的宽带，最大可以跑到900M左右的速率，下载能到88MB/S。这基本上也满足我目前家里电信500M宽带的要求吧，暂时没打算升级千兆，虽然我内网环境已经是2.5G了，但外网500M对我来说够用。等今晚把宽带上网性能这部分测试一下后，再上来补充。

分割线：2024.2.5 补充实际网速测试以及端口转发等设置使用体验~
——————————————————————————————


晚上好不容易等家人看完电视（看极空间里存放的片子）后，开始折腾防火墙当路由了。因为白天已经在公司做好了基本的设置，LAN的IP，DHCP等，因此换下原来的TP路由很简单，就是拔下几根网线，插好防火墙的电源等两三分钟时间。如下图。


红白色调和其他设备的灰黑为主，确实有点不搭，但也无所谓。


因为我所有的其他设备都是接在2.5G交换机上，因此路由的线接好后，就立马WIFI连上去登录管理界面，把WAN口的设置改为PPPoE，输入宽带账号和密码，确定后就拨号成功，能上网了。基本算是无缝切换。只可惜我前两天刚刚买了一根短光纤，把TP交换机和TP路由通过光口直连了，协商速率是2.5G，现在就只能是1G了。

接下来第一步就是各种测试网速了。我选择了几个测试方式：中国科大测试、广东电信宽带测速、信通院的全球网测APP测速、还有TP的商云APP测速。再加上迅雷实际下载测试。

中科大的这个测试实际很不稳，浮动很大，仅供有限参考。


广东电信宽带的测速，还可以，比speedtest的好。


信通院的全球网测，也算不错。


然后是迅雷下载实测。


TP的商云APP网速测试就不放上来了，结果差不多。

综上，对于500M的宽带来说，飞塔FG-30E在PPPoE方面是称职的，速度没有问题，和我之前的几个路由都差不多，都能榨干运营商给的余量，实际到600+以上的带宽，上行也还维持原样，能到60+。在迅雷下载过程中，防火墙的CPU占用率就上去了，达到了平均30-40%这样子，和卖家的测试结论差不多。但迅雷下载时我切换过去操作防火墙管理页面，没什么卡顿，所以影响不大。总的来说，仅就拨号上网而言，这个防火墙表现达到预期了。

下面顺便说一下我很关心的端口映射（转发）功能，也很快弄出来了，但实际比我预料的要复杂一些。要完成一个端口映射，不仅仅需要创建一个虚拟IP，而且还要创建一个相应的IPV4策略，使防火墙放行这个转发，并且策略中要选择好转发使用到的服务，例如HTTP、HTTPS、TCP等，否则转发是会被防火墙挡住的。如下图。



至于其他的如V  PN等，时间关系，就往后再逐个慢慢琢磨上手吧。


分割线：2024.2.5 继续补充 V  P  N功能实际体验
——————————————————————————————

长话短说，买这个防火墙很大一个因素就是看中它的V  P  N功能，很丰富，很完善。所以今天特地尝试了一下。
首先是创建了L2TP服务器，按照官方文档来的，但是创建好后，远端windows机器的**连接没法连上，排查了一下没找到问题，就先跳过，反正FortiGate支持N多种V  P  N模式的，先不管这个。

然后再尝试SSL V  P  N，先搞最简单的WEB门户模式。也就是设置一个SSL V  P  N 的WEB门户，用户从这个门户网页使用设置好的账号和密码登录，并使用门户网页上的快捷链接打开访问内网的各种资源，这些链接当然也是在SSL V  P  N设置那儿添加的。SSL V  P  N门户如下图。要求有公网IP或者DDNS，然后通过自己设置的端口来打开页面。



可以看到上边有好几个快捷链接，都是我自己设置的。下边是打开了防火墙管理页面。不得不说，这个WEB方式的SSL V  P  N真的非常方便，比之前我常用的DDNS+端口转发真的更实用更安全，至少不用暴露那么多端口在外网了。也比L2TP连接方便一些，至少不用先去拨号**吧。



但目前也碰到一些问题。有些内网的资源是没法打开的，例如可以创建RDP链接，但是打开就说连接已关闭，还有像portainer、code server这两个，页面就是打不开，加载不出来，不知道是什么问题，还得研究。

至于别的V  P  N 模式，隧道模式等，再慢慢继续琢磨学习。

leonqin

blanksign 发表于 2024-2-4 15:36
这个电源接口是有点另类。

哥们眼尖啊，这个电源接口确实是很让人无语，也导致了闲鱼上飞塔各机型很多都是不带电源卖的，要电源另加好几十元，电源单独卖更贵。。

leonqin

diskerjtr 发表于 2024-2-4 15:52
建议升级到6.4或者7.0  sdwan功能更好用。注册后更新下IDB数据库 sdwan规则可以根据大陆地理位置进行分流。 ...

根据卖家的说法，FG-30E只能最高升级到6.2.15了，50E也是这样，只有60E和更高的可以升级到7.2，我刚刚去FortiCloud看了，从公司访问过去实在太慢，半天打不开firmware下载页面。之前也问过别的卖家，也说30E最多升级到6.2。

leonqin

blanksign 发表于 2024-2-4 16:11
这种不带电源的，我多数都不会考虑。除非容易找到合适的电源。

我这个是原配电源的，还提供一大堆学习资料，被我各种问题轰炸两天都很及时答复，明显够诚意，不像别家电源都不带还更贵，并且那些还“不包技术”。

leonqin

hp5152688 发表于 2024-2-4 15:59
可以PM一下卖家吗？也想搞一台这种正儿八经的企业级玩玩

已PM，请查收。

leonqin

dcl2009 发表于 2024-2-4 15:52
家用的话，可以试试panabit免费版，用了十几年了，更新很频繁

我是想找个成品的防火墙兼路由啊，看来看去就飞塔30E这个最合适，尺寸够小，功能够用，价格够低。

leonqin

wxsk 发表于 2024-2-4 16:25
飞塔是很有意思的设备，cpu是买的通用芯片（低级arm,高级x86），配上自己设计研发的硬件（做NAT，防火墙策 ...

也没有功能全废吧。。我看主要的功能都有啊，不能用的就是一些IPS，web过滤，应用控制之类的，家用都可以不在意的。家用来说，路由拨号、端口映射、V PN等等这些能正常使用就可以了。

leonqin

dcl2009 发表于 2024-2-4 16:29
有授权挺好，好像授权不便宜

授权早就过期了，还有授权的哪里会这么便宜。自家玩玩，路由功能OK就行，不计较太多。

leonqin

l0stc0mpass 发表于 2024-2-4 16:37
firmware没有授权下不了。反正前俩年是这样的，只能有授权的人下载好了给你。 ...

主要是想看看最高能选择到哪个版本的，下载就算了，要不小黄鱼上大把卖固件和VM的呢。

leonqin

远程到家里电脑上FortiCloud看了一下，确实只能最高升级到6.2.15了，没辙。。。

leonqin

tankren 发表于 2024-2-4 16:49
固件 license什么的不好弄，家用不合适，就玩个新鲜

用得稳，能跑满我500M宽带，那就可以用久一点，确实就玩个新鲜，反正就是折腾。

leonqin

gzpony 发表于 2024-2-4 17:03
之前入手过60D，到手后发现和家用的路由比，难配置许多。
后来跑了命令，发现到手的60D的硬件配置和网上查 ...

是的，就算和TP的企业AC路由器相比起来，配置也复杂得多。但普通拨号上网和端口映射这些倒不是太麻烦。60D有点老旧了，60E确实是可以玩玩，规格上比30E强多了，从吞吐量来看应该是可以满足千兆以上宽带的，但玩的人实在太少，网上都找不到多少案例和用户评论。

leonqin

gzpony 发表于 2024-2-4 17:07
是不是某鱼上面某“火星”开头的ID？
我是退掉之前的60D后，慢慢逛发现这个ID卖很多飞塔，而且看起来比较 ...

是的，就是他。整个黄鱼平台就他在产品描述和技术咨询上做得最好了，别家的很多连技术都不懂，有些一问三不知的。

leonqin

sunrace 发表于 2024-2-4 17:05
玩玩没啥，最后楼主可能还是会更换掉的，小弟之前一直用Juniper的产品，黄鱼上比飞塔更便宜，稳定性是足够 ...

会换掉的，折腾不休嘛。我看中的是MTK那个MT7988的SOC的软路由，就是现在香蕉派BPI-R4那个开发板子，可惜就是还没什么牌子的成品，开发板太贵还得自己折腾，没时间精力。等好的成品路由出来再说。

leonqin

tonightmare 发表于 2024-2-4 17:31
是不是需要买2台啊？两端都设置后才能远程 V P N 登录？还是只要1端有就可以？ ...

不需要两台啊，对于PPTP，L2TP这样的V  PN来说，远端操作系统例如Windows上可以创建V PN连接来连吧，至少TP家的路由是这样的。而且飞塔支持很多中V  PN方式，远端还能仅WEB登录，或者安装client来登录连接。

leonqin

xu089757 发表于 2024-2-4 17:40
飞塔全家桶用户路过……好奇30E如果跑pppoe是否能跑满千兆

我家没千兆，只有500M，今晚可以测试一下30E在PPPOE方面是否能和我的另外几个路由打个平手吧，能的话就值得赞了。

leonqin

nn1122 发表于 2024-2-4 17:54
这个硬件一般来说确实已经落伍了，迷你x86PC上虚拟一个opnsense多好，2.5G/10G吞吐能力也OK ...

对这种玩法不感兴趣，我的ESXi上跑着一大堆虚拟机，连ROS都曾经跑过，但路由来说，我只搞硬的，或者至少是物理机的软路由。

leonqin

啵妞妞 发表于 2024-2-4 18:04
在m01上看很多台湾的大佬玩过  功能丰富，硬件克客制定制化，firewall加速功能比较全  唯一的短板就是pppoe ...

是的啊，我对宽带速度要求不高的，500M完全够用了，我最关心的场景就是外网通过公网IP和DDNS随时访问家里一堆各种设备和VM，现在还开始玩V  PN，所以才搞了飞塔这个来折腾一下。

leonqin

nn1122 发表于 2024-2-4 22:16
我都把单位esxi上的业务虚拟机全放在opnsense上后面好几年了，做透明模式防火墙，这就是不花钱的好玩法 ...

如此？那我也去了解一下这个，不过目前先把FortiGate玩熟再说啦。。

leonqin

pdvc 发表于 2024-2-5 07:52
看迅雷这CPU占用，pppoe和NAT应该都是CPU跑的，高级功能没授权也不能用，那这和N100那些软路由有什么区别么 ...

颜值就是正义，哈哈。UI其实没有UBNT的好看，但够好了，最重要的是UI能动态呈现各种不同的实时统计数据，这点是我喜欢的。市面上的软路由都是OP，顶多换换主题，实质上千篇一律，早就看腻了。

leonqin

kkfnaidon 发表于 2024-2-5 09:49
防火墙的话到手有没有默认策略啊？还是全部都得手动配置？

有默认策略的，就是wan->lan全拒绝，哈哈，你要搞端口转发，就得自己增加一个专门的放开通过的策略，其实也很简单，和windows防火墙的设置类似的。

leonqin

xu089757 发表于 2024-2-5 10:17
飞塔的高级功能没有授权也基本都能用，是最适合捡垃圾的防火墙……
应用控制，防病毒，IPS全部功能可以使 ...

哥们专家哦~

确实是，我从昨天开始折腾，已经开始搞一些V  P N方面的尝试，没看到哪个功能不能用的，能点开能设置的就能用。那些什么过滤之类的，和普通家用场景不太相关，因此基本可以忽略了。

leonqin

diskerjtr 发表于 2024-2-5 22:23
那是国企 金融 企事业单位有政策保护，玩信创。你去外企和互联网企业看看？
哪个不是飞塔和PA。。。 很多 ...

信创和安可确实是催生了千亿级别的大市场，现在政府采购项目，合同金额达到一定级别，三级等保就是必须了。你说他水分太大嘛不假，但也是实实在在了提高信息安全的方方面面。不让用非国产品牌，从国家战略层面来看，是可以理解的。

leonqin

若许 发表于 2024-2-5 22:10
可以PM一下卖家吗？也想搞一台这种正儿八经的企业级玩玩

已PM，请查收。

leonqin

HarBey 发表于 2024-2-5 23:49
这个防火墙性能确实不高，建议是100/101F系列比较好，顺带一提，某Rui捷S3100E防火墙是飞塔这个老版本换皮 ...

看了一下RJ S3100E，从外观构造上，应该是飞塔FG-60E的换皮，不知道系统是否也是FortiOS改了一下？对于垃圾佬家用场景来说，100和F系列就别想了，太贵太大，完全没必要的。

leonqin

m1ngh 发表于 2024-2-6 00:00
我后面又买了一台600D用

感觉玩60E的人多一些？尤其是POE版本的，在知乎上看到一个哥们也是用60E POE的。不纠结千兆以上带宽的话，确实飞塔这几个型号是可以满足家用上网和安全防护要求的。600D应该得上机架了吧。

leonqin

HarBey 发表于 2024-2-6 00:03
系统是旧FortiOS的**定制版本，命令行都一样的

这简直就是FortiOS换了个主题。。，会不会RJ也有类似的产品实施官方一本通？

leonqin

xu089757 发表于 2024-2-6 01:14
500E也不错，也能上万兆

可惜是机架式的，对于家用来说太大，而且价格绝对上天。

leonqin

diskerjtr 发表于 2024-2-6 09:33
家用最好是40F，最新90G性能是非常强的

40F我也在看，但价格太高了吧。。仅从家用略带折腾的角度来说，这个成本不太能接受，更别说G系列了。而且FortiGate这些桌面机型最大的遗憾就是至今为止都没有SFP+的WAN和LAN，家用的话就被限制在千兆以内了。

leonqin

lzbnet 发表于 2024-2-6 09:33
求PM卖家ID

已PM，请查收。