Fortigate 免費的2個token刪除後無法加回..無法存取forti care

 Fortigate 本身就有含兩個token授權，可以指派其兩個帳號，做雙因子驗證使用。

在測試時，設備本身有簽維護，但版本很舊，在設定時發生一些狀況，後來就把它給刪了，想說應該可以重新加回來，上網找了一下，可以用全都是0的預設設號匯入就行了。

結果~不行，然後有一個按鈕是寫重新下載授權，按下去就跳出無法存取forti care，一整個搞不定。

明明就有維護，還不給我存取，最後就依廠商建議，系統太舊原廠不支援，升級到最新試試，就可以了。

After deleting the two free tokens on FortiGate, I couldn't add them back, and I couldn't access FortiCare.

FortiGate itself comes with two token licenses, allowing for the assignment of two accounts for two-factor authentication purposes.

During testing, the device had an existing maintenance agreement, but it was running on a very outdated version. While configuring it, some issues occurred, so I decided to delete it, thinking that I could add it back later. I searched online and found that I could import a default configuration with all zeros.

However, it didn't work. There was a button labeled "Re-download License," but when I clicked it, it showed an error message saying it couldn't access FortiCare. It was quite frustrating.

Despite having an active maintenance agreement, I was denied access. Finally, following the vendor's suggestion, I upgraded the system to the latest version, and that resolved the issue.

HPE switch reset 重置

 最近買了HPE的switch，然後在設定時設定錯了，造成登入後沒權限做任何設定的調整，只能做設定的重置。

但現在的switch已沒有實體的reset鍵，只好透過官網提供的方式來reset。

首先，先重開switch，在重開的過程中會提示，可以按下Ctrl+B進入進階的開機選單中

進到進階開機選單後，就先選7，這是讓你下次重開機後，會跳過原本的設定檔，就像新機一樣，這時就可以重新建立一個新的帳號，給他最高的權限，然後存檔覆蓋原本的設定檔，再重開機，就可以用新建的帳號進去了。

下面是原廠提供的操作畫面，可以參一下。   

    BOOT  MENU    

1. Download application file to flash  

2. Select application file to boot  

3. Display all files in flash  

4. Delete file from flash  

5. Modify bootrom password  

6. Enter bootrom upgrade menu  

7. Skip current configuration file  

8. Set bootrom password recovery  

9. Set switch startup mode  

0. Reboot    

Enter your choice(0-9):      

Enter 7 (Skip current system configuration) and restart the switch (opcion 0). The switch reboots with empty configuration, and can log in through the console port without entering the password to check the configuration file for the user password.

Enter your choice(0-9): 7  

The current setting will boot with current configuration file when rebooted.  

Are you sure you want to skip current configuration file when reboot? Yes or No [Y/N] y  

Setting......done!              

    BOOT  MENU    

1. Download application file to flash  

2. Select application file to boot  

3. Display all files in flash  

4. Delete file from flash  

5. Modify bootrom password  

6. Enter bootrom upgrade menu  

7. Skip current configuration file  

8. Set bootrom password recovery  

9. Set switch startup mode  

0. Reboot    

Enter your choice(0-9): 0    

Starting......      

Forti SSLVPN 禁止特定IP連線

 Forti 防火牆上的SSLVPN連線功能，在GUI的設定介面裡，可以設定只允許特定IP連線，屬於白名單的方式。

可是公司的人會去其他國家出差，所以也無法確定到底哪些外部IP會連進來做SSLVPN的連線。 禁止特定IP連線。

然後又發現有特定的IP一直試著用不同帳密在TRY SSLVPN連線，實在有點擔心。

後來發現是有設定可以把白名單的限制方式，改成黑名單，但這要用指令來開啟

#config vpn ssl settings

     set source-address-negate enable

設定好之後，原本在GUI上啟用的白名單連線，就會變成是黑名單的效果了，只是在GUI的畫面上，上面還是一樣是寫允許清單，而不是禁止清單。

Forti SSLVPN Blocking Specific IP Connections

The SSLVPN connection feature on the Forti firewall allows you to set up a whitelist of specific IP addresses that are allowed to connect through the GUI configuration interface.

However, in our company, employees often travel to different countries, making it difficult to determine which external IP addresses will be used for SSLVPN connections. Therefore, we want to block specific IP connections.

We also noticed that there were certain IP addresses continuously attempting to connect through SSLVPN using different credentials, which raised some concerns.

Eventually, we discovered a configuration option that allows us to change the whitelist restriction to a blacklist, but it requires using commands.

#config vpn ssl settings

 set source-address-negate enable

After setting this up, the whitelist connections that were previously enabled in the GUI will effectively become a blacklist. However, in the GUI interface, it will still indicate "Allow List" instead of "Block List."

Forti SSLVPN 程式離線安裝

 Forti防火牆上的sslvpn 連線程式，可以上forti的網站下載。

但下載下來的安裝程式並不是完整的，執行時才會再連上網下載真正的安裝程式到電腦的一個暫存資料夾，載完後才執行安裝，有點浪費時間，而且一定要有網路功能，才能進行安裝。

所以就想找能不能有一個實際的安裝檔，這時就要這麼做

一開始先找一台電腦，照上面的方式，下載最新的安裝程式，執行後會再下載真正的安裝程式，下載好後就會進行安裝，跳出安裝畫面。

這時請到本機的 %LocalAppData%\Temp directory 資料夾中，會看到sslvpn 連線程式的真正安裝檔，檔名會叫"FortiClientVPN...."之類的，蠻好找的，把這個檔案複製出來。

之後其他台電腦要裝，就直接用這個檔案來裝就行了。

Forti SSLVPN program offline install

The SSL VPN client program on the Forti firewall can be downloaded from Forti's website.

However, the downloaded installation program is not complete. It only connects to the internet during execution to download the actual installation files into a temporary folder on the computer. After the files are fully downloaded, the installation process begins. This method is time-consuming and requires an internet connection to complete the installation.

Therefore, the goal is to find an actual installation file. Here's how to do it:

Start by using a computer to download the latest installation program following the aforementioned steps. After executing it, the program will initiate the download of the actual installation files. Once the download is complete, the installation process will begin, and an installation window will appear.

At this point, navigate to the "%LocalAppData%\Temp" directory on your local machine. You will find the actual installation file for the SSL VPN client program there. It will have a filename similar to "FortiClientVPN...." and should be easily identifiable. Simply copy this file.

For installing on other computers, you can directly use this copied file for installation.

WIN7連不到網路芳鄰(共用資料夾)

 有一台win7電腦連不到區網內任何一個共用資料夾，錯誤訊息都是無法存取 \\xxxx，錯誤代碼0x80070035。

有查到一些解法，有的說是windows更新的問題，有的說要調本機安全性原則，但通通沒用。

然後看了一下網卡的內容發現，裡面的東西好像有點少，比對一下其他正常的win7發現少了一個"Client for Microsoft Network"，直接選擇安裝，然後就可以加回去，連到其他的共用資料夾了。

A Windows 7 computer was unable to connect to any shared folders on the local network, displaying an error message stating "Cannot access \xxxx" with error code 0x80070035.

Several solutions were found during research, including suggestions related to Windows updates or adjusting local security policies, but none of them proved effective.

Upon inspecting the network card settings, it was noticed that some components were missing compared to other functioning Windows 7 computers. Specifically, the "Client for Microsoft Networks" was absent. Selecting the option to install it directly resolved the issue, allowing the computer to connect to other shared folders once again.

舊筆電 連不到新WIFI 無線網路

 最近聽到一些使用者反應家裡的無線AP換了以後，筆電就抓不到wifi了，但家中其他設備都還連的到。

抓不到是連ssid都沒看到，所以也無法連線，但公司或手機的WIFI連線又正常，蠻怪的。

因為不是單一個案，所以開始覺得是不是新的wifi協定不支援比較舊的無線網卡

沒想到真是如此，可以參 考這一篇，主要是新的ap已經開始用802.11ax的協定了，但比較舊的網卡不支援，也沒有什麼向下相容的機制，就必須做驅動的更新才行，intel有直接提供更新的驅動可以使用。

https://www.intel.com.tw/content/www/tw/zh/support/articles/000054799/wireless.html

Recently, some users have reported that after replacing their wireless access point (AP) at home, their laptops are no longer able to detect the Wi-Fi network. However, other devices in their homes can still connect without any issues.

The laptops cannot even see the Wi-Fi network's SSID, making it impossible to establish a connection. Strangely, Wi-Fi connections at their workplaces or on their smartphones work fine, which adds to the confusion.

As this issue is not isolated to a single case, it raises the suspicion that the newer Wi-Fi protocol may not be compatible with older wireless network cards.

Indeed, this turns out to be the case. You can refer to the article provided for more information. The main issue is that the new AP is using the 802.11ax protocol, which is not supported by older network cards. Unfortunately, there is no backward compatibility mechanism in place. The solution is to update the drivers, and Intel provides updated drivers for this purpose.

You can find further details and instructions in the following article:

https://www.intel.com.tw/content/www/tw/zh/support/articles/000054799/wireless.html

Fortigate 雙因子認證設定

 Fortigate 防火牆預設，有包含2個token的授權。這個token可以用來做為雙因子認證，像是user在連線sslvpn時，除了帳密外，還要多輸入一組token值，才能登入，這個token值是會一直變動的，來增加系統的安全性。

token有分實體的跟軟體式的，預設的這兩個授權就要用軟體式的來做，整個流程如下:

先建立好登入帳號，可能是ad上帳號或是firewall上的本機帳號，然後啟用雙因子認證的功能，指派其中一個token給這個帳號，之後這個帳號要登sslvpn或web console時，就都會多一個token碼的認證，然後按下"發送啟動碼"。

因為剛剛有執行發送啟動碼，所以他的mail裡會收到一封激活的信，然後在這個使用者的手機上裝FortiToken Mobile這個程式，開啟程式後就會有兩個選項讓你做激活的動作，看是要描激活信中的條碼或輸入激活碼都行。

輸入完之後，這個程式就會跳出一組數字，並倒數，倒數完數字就會變另一組，使用者在登入vpn或web時，在輸入完自己的帳號密碼後，就會多一個欄位要輸入app裡面的這個數字，輸入對了才能成功登入vpn或web，這就是token的設定與用法。

Cisco wireless controller 備份設定

controller設定檔備份，要選upload，不是選download。

upload是指把檔案從controller上傳至其他地方，download是指從其他地方下載檔案到controller裡面。

Fortigate 5.0 VPN設定失敗 沒有"Enable IPsec interface mode"

不同版本的Fortigate 防火牆，裡面的設定畫面都有點不同。

在5.0的版本裡，要設定site to site VPN，不像比較新的版本直接有範例可以套用，要自己手動設定。

在設定時，參照網路上的說明，有一個"Enable IPsec interface mode"要打勾，但卻找不到這個選項，後來設定好也一直沒辦法連線成功。

原來是這個功能被隱藏了，如果要啟動的話，要到設定裡把功能打開才可以，官方的網站有也有教學可以參考(https://kb.fortinet.com/kb/viewContent.do?externalId=FD35007)。

Fortigate 執行ping跟tracert

內部網路連不到外部網路，就要一段一段查，看斷在哪。

在windows或switch上指令差不多，但在forite防火牆上卻不一樣，如果要從防火牆上去ping或tracert其他ip，直接在web console上就有指令可以下，指令是

execute ping x.x.x.x

execute traceroute x.x.x.x

連線windows L2TP/PPTP VPN後 DNS request time out

之前用windows2012來建立VPN server，L2TP & PPTP都可以連線。

但最近突然出現了一個怪問題，VPN連上後，client電腦透過IP連到區網內的其他伺服器都沒問題，但用電腦名稱就會失敗，PING IP都正常，但用NSLOOKUP去測，都會time out。

查client或server上的log也查不到東西，原來是因為之前server都沒裝防毒，後來為了安全就裝了，結果就發生這個問題，防毒移掉就行了。

WINDOWS 2012 L2TP Server 安裝設定

win2012本來就可以直接拿來架設vpn server，pptp的vpn server最簡單，但apple的設備目前已經不支援了，所以也可以改用l2tp的vpn server，但網路上的網頁教學其實都不夠完整，架起來都連不通，後來是看了這篇才架起來的，可以參考一下。
https://www.youtube.com/watch?v=Xl3BhwLFgB4

FORTIGATE IPSEC 啟用與停用

在FORTIGATE 建了site to site vpn後，有時後太久沒用，會自動停用，如果需要啟用的話，要到"監測"的頁籤裡去啟動，有夠難找的。

ASUS 無線AP "RT-AC66U_B1" 不穩

目前有使用一台華碩的RT-AC66U_B1 無線AP，主要就是當AP用，沒有啟用routing的功能，但卻非常的不穩定。

有多台筆電都會有無線連線變驚嘆號，但網路通通都不通的狀況，這時就要手動改連其他的AP。

因為有多台電腦都有這個狀況，所以排除是電腦端的問題，但AP已經更新到最新的韌體，還是一樣會有這個狀況，可是又不是全部的電腦都會這樣，也很難確認就是AP的問題。

本來是想說，環境內有多台不同廠牌的AP，是不是訊號間的干擾造成的，可是其他很舊的AP卻沒這問題，今年買的卻有，又好像說不通。

今天又上了AP的管理介面想說來更新一下韌體看看，然後順便又描了一下設定，突然發現了這個"漫游助手"，居然設定了低於-55dBm就會斷線，之前完全沒印象有設定過這個東西，而且-55dBm是要收訊品質很好才行，也許這就是造成筆電無線不穩的原因，決定先調低一點來觀察看看是不是就不會有問題了。

win7設定橋接器連線 造成網路異常/IP發生位址衝突/DHCP server 多筆 Bad Address

最近發生了一件怪事，多台電腦都跳出IP發生位址衝突 ，然後網路就會斷斷續續，把電腦的IP release/renew，或設定成沒在使用的IP，都還是解決不了，而且DHCP server上出現了多筆Bad Address的記錄。
因為電腦IP發生位址衝突，可在事件檢視器查到是哪個Mac Address使用了相同的IP，所以可以在DHCP server跟Switch上找這個Mac Address。
偏偏DHCP server完全查不到這個Mac Address有來要IP，Switch上這個Mac出現一下就不見了，也找不到是在哪個port，懸案一件。
這問題發生了兩三次，有點麻煩，所以在當初有記錄的Switch上用ACL來阻擋這個Mac，後來沒事又上Core Switch看看這個Mac還有出現嗎，結果又出現了，是透過其他台Edge Switch連上的，而且是連上無線網路的網段，所以就去無線AP上找，剛好連到的那台無線AP除了會記錄Mac，還會記錄電腦抓到的IP，然後在透過IP 反解，才查到是哪位使用者的電腦。
在該台電腦上查到，他有在網卡設定橋接器連線，就是把自己筆電變熱點的設定，是這個設定造成的，把這個橋接器移除，DHCP server上就有這台電腦取的IP的紀錄，也解決IP衝突的問題。

Win2012 teaming 與 HP switch LACP設定

新裝了一台Win2012的伺服器，因為會有大量的資料讀寫，所以就來設定teaming，然後搭配的是一台HP 1910的switch。
首先2012的部份，很簡單，主要是小組模式跟負載平衡這邊要設對。第一個是設定"LACP"，第二個是設定"動態"

再來是switch的部分，直接就到"Link Aggregation"去設定，不是去"LACP"。
設定很簡單 就把要綁定的網孔選一選，然後interface type要選"dynamic"，不要選"statistic"，就可以套用了。

都設定好，在2012上的teaming就會顯示作用中，虛擬出來的網卡頻寬也會變成兩倍。

如果有設定錯的地方，switch的部份就有可能會出現"The port is not configured properly."的錯誤。
teaming的設定也會顯示"發生錯誤 lacp交涉"。要注意一下。

利用batch 部署無線網路WIFI SSID連線

如果一個環境中有很多個不同的無線AP，都是各自獨立的SSID，如果都用手動的方式，到各AP的區域，去設定連線密碼，其實有點麻煩，可以用派送的方式來做

1. 首先，先找一台筆電已經有所有SSID連線紀錄的，下指令"netsh wlan show profiles"，就可以看到每個連線的名稱。

2. 接著把設定匯出，每一個SSID就要匯出一個檔案，而不是一次匯出所有的連線，指令是"netsh wlan export profile name=”SSID-Profile” key=clear folder=”x:\wireless-profile”"

3. 匯出來的都是xml檔，接著到需要匯入的電腦，執行"netsh wlan add profile filename=”x:\wireless-profile.xml”"。

因為都是一般指令，所以就可以做成batch檔透過AD直接派送。
步驟2的key=clear，是指匯出的xml要帶出連線的密碼，所以在xml裡會看的到明碼，如果把這參數拿掉，xml就不會有明碼，這樣在匯入到其他台電腦時，還是要在輸入密碼才能連線。

QNAP 共用資料夾(CIFS、SMB)設定

QNAP 建了一個本地的帳號後，也建了一個共用資料夾，權限都設定好了。
然後從windows要去連到這個共用資料夾，連線的方式就是 \\qnap 。
一開始當然就跳出帳號密碼輸入，要驗証登入者的身份，沒想到用admin的帳號測是ok的，但另外建的本地帳號卻失敗，後來在建其他的資料夾跟帳號反覆測，都失敗，後來才發現，原來是帳號裡，要去應用程式權限裡，把微軟網路這個功能啟用才行。

QNAP NAS status 持續閃爍紅綠燈

最近因為要重設QNAP NAS，就擢了reset鈕15秒，沒想到機器的status 持續閃爍紅綠燈，說明書是說這在初始化，但它初始了十幾個小時還是一樣，然後網路也都連不上，其他硬碟燈號都是正常的綠燈，後來不爽不想等了，直接按電源鈕強制關機。
然後再按電源鈕啟動，居然就好了，太白爛了。

QNAP NAS 網卡設定 port trunking

QNAP NAS有提供，可以在機器本身多張網卡綁定成一張，設定的名司叫" port trunking"。
設定其實很簡單，上網查查就有了，今天要分享的是，關於IP的部份。
因為自己在設定時，網卡1 & 2是接在沒有DHCP的Switch Port上面，但網卡2有設定固定IP，網卡1沒有設定任何IP，所以自動產生了一個169.254.x.x的IP。
在設定port trunking，將兩張網卡綁定後，就連不到了，也不知道綁定後產生的網卡IP是以哪個為主，反正都ping不到，用qfinder也都找不到。
因為上面也都沒資料，就重設吧~重設時要去擢機器上的reset鍵，但這個reset鍵還有分只擢3秒跟15秒，記得只要擢3秒，然後等個5分鐘，在把網卡2接上有DHCP的Switch Port上，讓它先抓到IP，然後在將網卡1跟2通通先設定成DHCP，並讓兩張網卡都抓到IP，再來做port trunking，做完後，就會自動產生IP，然後在改成要用的固定IP就行了。