Fortigate Üzerinde CGNAT Carrier Grade Nat

Merhaba arkadaşlar,

Bu makalemde sizlere CGNAT yani Carrier Grade Nat ‘ı anlatacağım

Biliyorsunuz ki. asıl CGNAT cihazı A10 gibi sadece bu işi yapan ürünlerdir fakar bunlar maliyetli olduğundan alternatif çözüm aranırsa Fortigate ‘de bu işi yapabiliyor,

CGNAT yapacak ürününde F serileri bu işler için ideal ‘dir ve corcurrent diğer serilere göre oldukça iyidir zaten CGNAT yapacak ürünün tcp sessions ve performansının yüksek olması gerekir

Şimdi, orta ölçekli veya 10 bin, 30 bin abonesi olan bir isp fortigate kullanarak CGNAT yapabilir.

CGNAT ne işe yarar derseniz aslında içerideki trafiğin kaynağa erişirken kullandığı port aralığının sabitlenmesi dir kısaca, türkiyede bunu BTK loglarında kullanılır herhangi biri suç işlediğinde veya takibe alındığında ilgili İSP ye bu ip adresinin kime ait olduğunu bulmada oldukça kolaylık sağlar tabi bunu günümüzde her İSP sağlıklı yapamıyor

Dip not: Metro Ethernet, vb. devrelerde CGNAT ‘a ihtiyaç yoktur.

Evet şimdi öncelikle içeride kullandığınız ip adreslerinin range aralıklarını belirtiyoruz.

Öncelikle,

Policy Objects-IP Pools | gelip Create New diyoruz,

Aşağıdaki ekranda

PoolName yazıyoruz,

Type : Fixed Port Range ( olması gerekiyor )

External IP address/range : 185.x.x.15-185.x.x.15 ( yazın ) burada istediğiniz ip adresine NAT yapabilirsiniz.

Internal IP Range : 10.5.9.1-10.5.9.50 ( bu kısımda yapınızda kullandığınız BGN pool veya her ne kullanıyorsanız, müşteri Gpon veya modemlerine atanan adreslerin aralığını yazabilirsiniz.

Ve ARP Reply açalım.

A screenshot of a computer Description automatically generated

Son olarak CLi üzerinden kontrol ettiğimizde yukarıdaki İnternal IP Range kısmına yazdığımız aralıklara göre source portlarının sabit olduğu ve hangi portları kullanacağını görebilirsiniz.

Ayrıca bu işlemleri yaptığınızda artık source portları hiçbir zaman değişmeyecek ve sabit kalacak

Evet aşağıdaki ekranda,

İnterna ip olan 10.5.9.1 ile 50 arası Nat ip olarak 185.x.x.15 ip adresini kullanarak

Her bir internal ip adresi Source range port olarak sabit bir port kullanacaktır.

Mesela aşağıdaki ekranda

10.5.9.1 source range port olarak 5117-6324 aralığını kullanacak sürekli olarak.

bu işlemi aynı mantıkta ipv6 içinde yapabilirsiniz.

diagnose firewall ippool-fixed-range list natip x.x.x.x

 

A screenshot of a computer Description automatically generated

Burada belirtmek istediğim bir nokta daha var Range portlarını maalesef siz belirleyemiyorsunuz yani bunu Fortigate kendisi atıyor fakar 7.x ve üzeri versiyonlarda bunu değiştirdiler kendiniz bir aralık belirtebiliyorsunuz.

CGNAT olayını sadece fortigate ürünlerinde değil Cisco, Palo Alto, Checkpoint ve destekleyen Firewall markalarında da yapabilirsiniz.

Ama bu işin babası tabikide A10 ‘dur 🙂 en azından benim duyduğum ve bildiğim

Çünkü baktığımız enterprise ve yurtdışı operatörlerinin büyük bir kısmı bu A10 kullanır

Bir sonraki makalemde görüşmek üzere..

Leave a Reply

Your email address will not be published. Required fields are marked *