上手飞塔FortiGate-30E，试水企业级防火墙做家用路由（已补充虚拟专网实测）

leonqin

生命不息，折腾不休~
最近反复折腾网络设备，路由、交换机、光猫，虽然相比论坛里各种大咖来说，我都是小打小闹，不过也是有点耗时耗力的，尤其折腾路由为了不影响家里上网，经常得到家里人都睡了半夜来弄。。 。但还是喜欢折腾啊，有钱有有钱的折腾，没钱有没钱的折腾。这不，我又去小黄鱼淘了个不错的好货，FortiGate-30E，FortiNet的企业防火墙，上一代的桌面机型里最低端的一款。瞧瞧下边这个外观，至少是蛮小巧的，也不难看，放家里当桌面路由器是可以的。

巴掌大，宽度210mm，和我现在的主路由TP R5408PEF-AC是基本一致，和我的新交换机SE2109也一样。


飞塔产品经典的红白配色，看起来就感觉和安全、防火相关。


1个千兆WAN口，4个千兆LAN口，1个Console调试口。这样的配置坛友们显然是瞧不上的了，连个2.5G都没得，SFP+也没有。。本来就是五六年前的产品嘛，在当时还是可以的，放到今天自然是落伍。不过，我家电信宽带500M，上行60M，这个做路由倒也没有瓶颈就是。


正面是这样的，各种接口和指示灯，都是黄绿色的，设计上中规中矩，毕竟是低端型号。


灯的亮度有点高，要放在家里电视柜上，估计得弄个遮光的胶来贴一下才行，之前我的H3C交换机也是这样，要不晚上有点刺眼。


入手这个之前和卖家（一个网络技术大咖）聊了好久，相谈甚欢，得到很多指点。后来为了保险起见，还京东买了根Console调试线，以防修改IP后没法访问之类的情况下得console连接去设置。


这条console线也有价值，之前没有玩过这样的，刚才也接起来试了，可以serial方式登录，但之前要先安装线的驱动，CH340C芯片的，否则win11不认。

接下来说一下这个正主儿的路由功能。
首先，这是一个防火墙，正职是防火墙和其他安全防护，然后兼做路由器。所以呢，安全相关的功能很多，很全，路由功能呢，实际上也不差，也算很全，该有的都有，包括VLAN等，但也导致设置相对复杂，功能菜单太多太深，不经过一番预研，上来就当普通路由器用，估计够呛。不过，如果仅仅只是拨号上网，还是简单的。

先看下管理界面的样子。这是我最最喜欢的部分，仪表板 dashboard。这些动态图表，都是当前仪表板上的一个个“微件”，是可以自行调整大小、添加和删除的。目前我这个是放上了系统信息、CPU占用率、内存占用率、会话数、带宽、Top目标字节等一些我认为比较值得关注的实时图表。还可以添加更多的微件，抑或增加多一个仪表板。就这一点来说，系统状态信息和实时数据的显示之全面丰富，目前的消费级路由器，估计没几个能做到吧。相比之下TP的路由器真的太阳春了，整个主界面看不到啥信息，而且还没动态图。




回到路由器本身的功能，拨号上网，到网络-接口里设置一下wan口即可，我现在因为是在公司，随便扯了工位上接出来的线接到wan口，所以用的DHCP模式。回到家里得改成pppoe，输入宽带账号密码就可以连接了。这些图形化操作，都可以直接ssh或者console连接后用命令行来做，命令行输入提交后，页面上刷新就能看到变化。这个系列产品都是这样，命令行操作实际上是主要的，图形化界面只是方便用户而已，甚至，在图形化界面上，所有功能都可以点击左上角的命令行icon来打开命令行窗口直接敲，逼格满满啊。

这是目前的wan和lan口情况。lan的4个口已经默认设置了硬件交换和DHCP，DHCP的网关是会跟随lan口的IP地址变化的。不知道是这个版本默认就有这个lan的硬件交换，还是说是卖家在发货前帮弄的。有了这个设置，我笔记本连上其中一个lan口，就可以上网了。之前看官方的一些文档和案例，还需要自己创建静态路由和NAT，现在感觉没那么啰嗦。


这是wan的DHCP设置。下班回家后晚点可以接上光猫改成pppoe了。


再简单看一下其他的功能，例如我最常用的端口映射（转发），飞塔这边叫做虚拟IP（VIP）。创建也简单，选择入口port，目标IP，端口之类就行。但还没试过是否这样就OK，今晚就知道了。


V PN功能，这个应该是飞塔防火墙的卖点之一，非常丰富的V PN模式和特性支持。PPTP、L2TP这种常见的自不必说，还支持SSL V PN，web的，client的，以及其他的。在官方文档和案例里，光是V PN这部分就有很长的章节内容，够学习和折腾很久了。最近我是喜欢用L2TP来访问家里的设备，不必搞一堆端口转发了，安全性也高。完善的V PN功能，也是我买这台飞塔的初衷之一。


别的再看一下，可以支持和开启的功能还有很多，如下图。


特别说一下，这台机器，成色很新，至少9成新。但怎么也是好几年前的型号了，出厂已久，所以适配的license早已过期了，因此有些安全防护功能就不能用了，但绝大多数功能，最主要的路由功能，防火墙功能，V PN这些，完全不受license的影响。而且这台是没有注册绑定过的，所以我刚刚已经注册到官方的FortiCloud平台去了，可以在线远程管理（和TP的商云平台类似），还能下载官方APP来管理。但这些我还没试，毕竟刚刚到手几个小时，仅仅开机连线测试了基本功能而已。

更进一步的使用体验，例如很重要很关键的，对于家用路由器来说，宽带拨号性能，网速等这些。从卖家在产品页面写的详细描述来说，他做了很充分的测试，这台FG-30E，完全能应付千兆以内的宽带，最大可以跑到900M左右的速率，下载能到88MB/S。这基本上也满足我目前家里电信500M宽带的要求吧，暂时没打算升级千兆，虽然我内网环境已经是2.5G了，但外网500M对我来说够用。等今晚把宽带上网性能这部分测试一下后，再上来补充。

分割线：2024.2.5 补充实际网速测试以及端口转发等设置使用体验~
——————————————————————————————


晚上好不容易等家人看完电视（看极空间里存放的片子）后，开始折腾防火墙当路由了。因为白天已经在公司做好了基本的设置，LAN的IP，DHCP等，因此换下原来的TP路由很简单，就是拔下几根网线，插好防火墙的电源等两三分钟时间。如下图。


红白色调和其他设备的灰黑为主，确实有点不搭，但也无所谓。


因为我所有的其他设备都是接在2.5G交换机上，因此路由的线接好后，就立马WIFI连上去登录管理界面，把WAN口的设置改为PPPoE，输入宽带账号和密码，确定后就拨号成功，能上网了。基本算是无缝切换。只可惜我前两天刚刚买了一根短光纤，把TP交换机和TP路由通过光口直连了，协商速率是2.5G，现在就只能是1G了。

接下来第一步就是各种测试网速了。我选择了几个测试方式：中国科大测试、广东电信宽带测速、信通院的全球网测APP测速、还有TP的商云APP测速。再加上迅雷实际下载测试。

中科大的这个测试实际很不稳，浮动很大，仅供有限参考。


广东电信宽带的测速，还可以，比speedtest的好。


信通院的全球网测，也算不错。


然后是迅雷下载实测。


TP的商云APP网速测试就不放上来了，结果差不多。

综上，对于500M的宽带来说，飞塔FG-30E在PPPoE方面是称职的，速度没有问题，和我之前的几个路由都差不多，都能榨干运营商给的余量，实际到600+以上的带宽，上行也还维持原样，能到60+。在迅雷下载过程中，防火墙的CPU占用率就上去了，达到了平均30-40%这样子，和卖家的测试结论差不多。但迅雷下载时我切换过去操作防火墙管理页面，没什么卡顿，所以影响不大。总的来说，仅就拨号上网而言，这个防火墙表现达到预期了。

下面顺便说一下我很关心的端口映射（转发）功能，也很快弄出来了，但实际比我预料的要复杂一些。要完成一个端口映射，不仅仅需要创建一个虚拟IP，而且还要创建一个相应的IPV4策略，使防火墙放行这个转发，并且策略中要选择好转发使用到的服务，例如HTTP、HTTPS、TCP等，否则转发是会被防火墙挡住的。如下图。



至于其他的如V  PN等，时间关系，就往后再逐个慢慢琢磨上手吧。


分割线：2024.2.5 继续补充 V  P  N功能实际体验
——————————————————————————————

长话短说，买这个防火墙很大一个因素就是看中它的V  P  N功能，很丰富，很完善。所以今天特地尝试了一下。
首先是创建了L2TP服务器，按照官方文档来的，但是创建好后，远端windows机器的**连接没法连上，排查了一下没找到问题，就先跳过，反正FortiGate支持N多种V  P  N模式的，先不管这个。

然后再尝试SSL V  P  N，先搞最简单的WEB门户模式。也就是设置一个SSL V  P  N 的WEB门户，用户从这个门户网页使用设置好的账号和密码登录，并使用门户网页上的快捷链接打开访问内网的各种资源，这些链接当然也是在SSL V  P  N设置那儿添加的。SSL V  P  N门户如下图。要求有公网IP或者DDNS，然后通过自己设置的端口来打开页面。



可以看到上边有好几个快捷链接，都是我自己设置的。下边是打开了防火墙管理页面。不得不说，这个WEB方式的SSL V  P  N真的非常方便，比之前我常用的DDNS+端口转发真的更实用更安全，至少不用暴露那么多端口在外网了。也比L2TP连接方便一些，至少不用先去拨号**吧。



但目前也碰到一些问题。有些内网的资源是没法打开的，例如可以创建RDP链接，但是打开就说连接已关闭，还有像portainer、code server这两个，页面就是打不开，加载不出来，不知道是什么问题，还得研究。

至于别的V  P  N 模式，隧道模式等，再慢慢继续琢磨学习。

blanksign

这个电源接口是有点另类。

summerq

blanksign 发表于 2024-2-4 15:36
这个电源接口是有点另类。

这电源接口其实还很有讲究。首先防呆，其次有卡隼不会拉掉…

leonqin

blanksign 发表于 2024-2-4 15:36
这个电源接口是有点另类。

哥们眼尖啊，这个电源接口确实是很让人无语，也导致了闲鱼上飞塔各机型很多都是不带电源卖的，要电源另加好几十元，电源单独卖更贵。。

dcl2009

家用的话，可以试试panabit免费版，用了十几年了，更新很频繁

diskerjtr

建议升级到6.4或者7.0  sdwan功能更好用。注册后更新下IDB数据库 sdwan规则可以根据大陆地理位置进行分流。

建议柠檬

一直在找飞塔那个EC3539还是LC5518的防火墙。。。。

hp5152688

可以PM一下卖家吗？也想搞一台这种正儿八经的企业级玩玩

blanksign

summerq 发表于 2024-2-4 15:45
这电源接口其实还很有讲究。首先防呆，其次有卡隼不会拉掉…

防呆吗？？？DC头标准内正外负。这很好找到合适的DC头。这玩意，你废了就真的废了。除非动手能力可以，魔改。

blanksign

leonqin 发表于 2024-2-4 15:45
哥们眼尖啊，这个电源接口确实是很让人无语，也导致了闲鱼上飞塔各机型很多都是不带电源卖的，要电源另加 ...

这种不带电源的，我多数都不会考虑。除非容易找到合适的电源。

leonqin

diskerjtr 发表于 2024-2-4 15:52
建议升级到6.4或者7.0  sdwan功能更好用。注册后更新下IDB数据库 sdwan规则可以根据大陆地理位置进行分流。 ...

根据卖家的说法，FG-30E只能最高升级到6.2.15了，50E也是这样，只有60E和更高的可以升级到7.2，我刚刚去FortiCloud看了，从公司访问过去实在太慢，半天打不开firmware下载页面。之前也问过别的卖家，也说30E最多升级到6.2。

leonqin

blanksign 发表于 2024-2-4 16:11
这种不带电源的，我多数都不会考虑。除非容易找到合适的电源。

我这个是原配电源的，还提供一大堆学习资料，被我各种问题轰炸两天都很及时答复，明显够诚意，不像别家电源都不带还更贵，并且那些还“不包技术”。

leonqin

hp5152688 发表于 2024-2-4 15:59
可以PM一下卖家吗？也想搞一台这种正儿八经的企业级玩玩

已PM，请查收。

leonqin

dcl2009 发表于 2024-2-4 15:52
家用的话，可以试试panabit免费版，用了十几年了，更新很频繁

我是想找个成品的防火墙兼路由啊，看来看去就飞塔30E这个最合适，尺寸够小，功能够用，价格够低。

hp5152688

blanksign 发表于 2024-2-4 16:10
防呆吗？？？DC头标准内正外负。这很好找到合适的DC头。这玩意，你废了就真的废了。除非动手能力可以，魔 ...

就正负两极，12V的，随便找个电源接两根线就行，
原装电源还拖着一大一小的两坨东西

wxsk

飞塔是很有意思的设备，cpu是买的通用芯片（低级arm,高级x86），配上自己设计研发的硬件（做NAT，防火墙策略加速）加速芯片，卖的其实是防火墙软件服务，授权过期不续的话只有基本NAT和**功能，其他功能全废，

dcl2009

leonqin 发表于 2024-2-4 16:20
我是想找个成品的防火墙兼路由啊，看来看去就飞塔30E这个最合适，尺寸够小，功能够用，价格够低。 ...

有授权挺好，好像授权不便宜

leonqin

wxsk 发表于 2024-2-4 16:25
飞塔是很有意思的设备，cpu是买的通用芯片（低级arm,高级x86），配上自己设计研发的硬件（做NAT，防火墙策 ...

也没有功能全废吧。。我看主要的功能都有啊，不能用的就是一些IPS，web过滤，应用控制之类的，家用都可以不在意的。家用来说，路由拨号、端口映射、V PN等等这些能正常使用就可以了。

l0stc0mpass

我们公司用的就是飞塔的。要是不玩什么硬件NAT等等的还是可以的（不是人家安全设备应该关心的重点），企业级的功能很多，虚拟IP/ACL/代理什么的都很好，但也偶有BUG更新下系统就行。相比设备本身价格而言维保很贵，而且如果断了想续的话要补钱。

leonqin

dcl2009 发表于 2024-2-4 16:29
有授权挺好，好像授权不便宜

授权早就过期了，还有授权的哪里会这么便宜。自家玩玩，路由功能OK就行，不计较太多。

l0stc0mpass

leonqin 发表于 2024-2-4 16:14
根据卖家的说法，FG-30E只能最高升级到6.2.15了，50E也是这样，只有60E和更高的可以升级到7.2，我刚刚去F ...

firmware没有授权下不了。反正前俩年是这样的，只能有授权的人下载好了给你。

lanq98

造型确实够小巧，忍不住去查了查相关资料

leonqin

l0stc0mpass 发表于 2024-2-4 16:37
firmware没有授权下不了。反正前俩年是这样的，只能有授权的人下载好了给你。 ...

主要是想看看最高能选择到哪个版本的，下载就算了，要不小黄鱼上大把卖固件和VM的呢。

tankren

固件 license什么的不好弄，家用不合适，就玩个新鲜

leonqin

远程到家里电脑上FortiCloud看了一下，确实只能最高升级到6.2.15了，没辙。。。

leonqin

tankren 发表于 2024-2-4 16:49
固件 license什么的不好弄，家用不合适，就玩个新鲜

用得稳，能跑满我500M宽带，那就可以用久一点，确实就玩个新鲜，反正就是折腾。

错过了吗

麻烦pm一下卖家，感谢

gzpony

之前入手过60D，到手后发现和家用的路由比，难配置许多。
后来跑了命令，发现到手的60D的硬件配置和网上查的有差距，问卖家，卖家没有正面回应，就退货了。
也想着以后有机会继续搞一个新的一点的，比如60E这样的，版本可以升到7.4。但暂时没空折腾这个，等着。

sunrace

玩玩没啥，最后楼主可能还是会更换掉的，小弟之前一直用Juniper的产品，黄鱼上比飞塔更便宜，稳定性是足够的，但现实家宽中的网络环境确实没有太大的便利性，唯一方便是‘策略路由’回公司真是方便稳定好用，其他的功能用不上，去年换了一台ROS 5009养老。

gzpony

leonqin 发表于 2024-2-4 16:17
我这个是原配电源的，还提供一大堆学习资料，被我各种问题轰炸两天都很及时答复，明显够诚意，不像别家电 ...

是不是某鱼上面某“火星”开头的ID？
我是退掉之前的60D后，慢慢逛发现这个ID卖很多飞塔，而且看起来比较专业。以后再入手的话可能选他。