Khắc phục vấn đề WAN IP hiển thị unknown trên FortiGate Dashboard

Bài viết này cung cấp hướng dẫn về cách kiểm tra và khắc phục vấn đề liên quan đến kết nối internet trên thiết bị FortiGate. Nếu bạn là người quản trị hệ thống hoặc làm việc với thiết bị FortiGate, thông tin trong bài viết có thể giúp bạn xác định và giải quyết các vấn đề liên quan đến địa chỉ IP WAN, định tuyến và cấu hình DNS.

Dưới đây là một tóm tắt của những điểm chính:

• Kiểm tra kết nối đến một địa chỉ IP ngoài internet (ví dụ 8.8.8.8): Sử dụng lệnh ping để kiểm tra tính khả dụng của kết nối internet.
• Kiểm tra bảng định tuyến: Xác định cách thiết bị đang định tuyến gói tin tới địa chỉ IP cụ thể.
• Kiểm tra và cấu hình DNS: Nếu có vấn đề với một cổng nhất định, kiểm tra và cấu hình lại DNS để sử dụng cổng đó.
• Cấu hình FortiGuard: Đối với việc kết nối tới FortiGuard servers, đảm bảo sử dụng cổng giống nhau với cấu hình DNS.

Giải pháp.

Trước khi xử lý vấn đề, thực hiện các bước kiểm tra sau:

Bước 1 – Kiểm tra xem có default route không:

Sử dụng lệnh sau để kiểm tra bảng định tuyến:

get router info routing-table all

Đảm bảo rằng có default route ra internet và được cấu hình đúng.

Bước 2 – Thử chạy lệnh để lấy địa chỉ IP từ FortiGuard.

diagnose sys waninfo
diagnose sys waninfo ipify

Kiểm tra xem các lệnh trả về địa chỉ WAN IP chính xác hay không. Thông thường nếu không gặp sự cố gì thì xong bước này địa chỉ IP WAN đã hiển thị lên Dashboard của bạn.

Dưới đây là ví dụ đầu ra khi chạy lệnh diagnose sys waninfo của mình.

Forti-100E # diagnose sys waninfo
Failed to get my public IP, ret=0 src_ip=0.0.0.0 vfid=-1(null)
Command fail. Return code 5

Forti-100E # diagnose sys waninfo
Public/WAN IP: 124.158.9.30
Location:
        Latitude: 10.823100
        Longitude: 106.629662
        Accuracy radius: Unknown
        Time zone: Asia/Ho_Chi_Minh
City: Ho Chi Minh City
Subdivisions:
        0: Ho Chi Minh
Country: Vietnam
Postal: Unknown
        Code: Unknown
Continent: Asia
Registered country: Unknown
ISP: Unknown
WAN IP 124.158.9.30 is not in the FortiGuard IP Blacklist.

Thông tin này là kết quả của lệnh diagnose sys waninfo trên thiết bị FortiGate của mình.

• Địa chỉ IP công cộng/WAN của bạn: 124.158.9.30
• Vị trí:
  • Vĩ độ: 10.823100
  • Kinh độ: 106.629662
  • Bán kính độ chính xác: Không rõ
  • Múi giờ: Asia/Ho_Chi_Minh
• Thành phố: Thành phố Hồ Chí Minh
• Các đơn vị hành chính:
  • 0: Thành phố Hồ Chí Minh
• Quốc gia: Việt Nam
• Mã bưu chính: Không rõ
• Châu lục: Châu Á
• Quốc gia đăng ký: Không rõ
• Nhà cung cấp dịch vụ internet (ISP): Không rõ

Kết quả cũng xác nhận rằng địa chỉ IP WAN của bạn không nằm trong danh sách đen IP của FortiGuard, điều này là tốt. Nếu bạn đang gặp vấn đề gì đó liên quan đến WAN IP, như hiển thị là ‘unknown’ trên FortiGate Dashboard trước đó, thì có vẻ như vấn đề đã được giải quyết với địa chỉ IP mới là 124.158.9.30.

Dòng lệnh diagnose sys waninfo ipify đã thực hiện việc lấy thông tin địa chỉ IP WAN của mình thông qua dịch vụ https://api.ipify.org.

Forti-100E #  diagnose sys waninfo ipify
Try to get my public IP through https://api.ipify.org with src_ip=0.0.0.0 vfid=0(root) ...

Public/WAN IP: 124.158.9.30
Location:
        Latitude: 10.823100
        Longitude: 106.629662
        Accuracy radius: Unknown
        Time zone: Asia/Ho_Chi_Minh
City: Ho Chi Minh City
Subdivisions:
        0: Ho Chi Minh
Country: Vietnam
Postal: Unknown
        Code: Unknown
Continent: Asia
Registered country: Unknown
ISP: Unknown
WAN IP 124.158.9.30 is not in the FortiGuard IP Blacklist.

Nếu bạn vẫn không thấy IP WAN xuất hiện trên Dashboard, tiếp tục với các bước sau.

Bước 3 – Kiểm tra lỗi khi thử lấy ‘my public IP’ từ dịch vụ bên ngoài.

diagnose sys waninfo ipify

Nếu lệnh trả về lỗi như Failed to get my public IP, ret=-1 thì tiến hành các bước tiếp theo.

Bước 4 – Thử lấy địa chỉ IP Public bằng dịch vụ bên ngoài.

diagnose sys waninfo ipify

Nếu lệnh này cũng trả về lỗi Failed to get my public IP, ret=-1 thì đó là dấu hiệu của một vấn đề khi truy cập dịch vụ bên ngoài.

• Các bước sửa lỗi
  • Kiểm tra kết nối internet: Đảm bảo rằng FortiGate có kết nối internet. Kiểm tra xem nó có thể kết nối được với các dịch vụ bên ngoài không, sử dụng các công cụ như ping để kiểm tra kết nối.
  • Kiểm tra chính sách tường lửa và bảo mật: Xác nhận không có chính sách tường lửa hoặc bảo mật nào hạn chế FortiGate khỏi việc truy cập các dịch vụ bên ngoài. Kiểm tra và điều chỉnh các chính sách nếu cần.
  • Cấu hình DNS: Đảm bảo rằng cấu hình DNS trên FortiGate là chính xác. Nó phải có thể giải quyết tên miền bên ngoài. Kiểm tra cài đặt DNS và điều chỉnh nếu cần.
  • Kiểm tra Web Filtering: Nếu tính năng lọc web được kích hoạt, đảm bảo rằng nó cho phép truy cập vào dịch vụ bên ngoài được sử dụng để lấy địa chỉ WAN IP (ví dụ: api.ipify.org). Điều chỉnh cài đặt lọc web nếu cần.
  • Cấu hình NAT: Kiểm tra cấu hình Network Address Translation (NAT). Đảm bảo rằng NAT đang chuyển đổi địa chỉ IP nguồn đúng cho gói tin đi ra.
  • Dịch vụ FortiGuard: Xác nhận trạng thái của các dịch vụ FortiGuard. Nếu có vấn đề với FortiGuard, nó có thể ảnh hưởng đến khả năng lấy thông tin WAN IP.
  • Kiểm tra Log Hệ thống: Xem xét các log hệ thống để tìm các thông báo lỗi hoặc sự kiện liên quan. Log có thể cung cấp thông tin bổ sung về vấn đề.
  • Cập nhật Firmware: Đảm bảo rằng firmware của FortiGate là phiên bản mới nhất. Cân nhắc cập nhật lên phiên bản firmware mới nhất nếu chưa làm điều này.

Bước 5 – Các bước để kiểm tra và khắc phục vấn đề liên quan đến kết nối internet trên thiết bị FortiGate.

1. Kiểm tra kết nối tới địa chỉ IP 8.8.8.8:

exec ping-option reset
exec ping 8.8.8.8

• exec ping-option reset: Đặt lại các tùy chọn của lệnh ping.
• exec ping 8.8.8.8: Thực hiện kiểm tra kết nối bằng cách ping tới địa chỉ IP 8.8.8.8 (DNS server của Google).

2. Kiểm tra bảng định tuyến cho kết nối internet:

get router info routing-table details 8.8.8.8

Kiểm tra bảng định tuyến để xem cách thiết bị đang điều hướng gói tin tới địa chỉ IP 8.8.8.8.

3. Kiểm tra kết nối tới 8.8.8.8 với cổng xác định.

exec ping-options reset
exec ping-options interface port1
exec ping 8.8.8.8

• Đặt lại tùy chọn ping và chỉ định sử dụng cổng (interface) là port1.
• Thực hiện kiểm tra ping tới địa chỉ IP 8.8.8.8 với cổng xác định.

4. Cấu hình DNS nếu kết nối thành công qua port1.

config sys dns
   set interface-select-method specify
   set interface port1
end

• Nếu kết nối tới 8.8.8.8 qua port1 thành công, thực hiện cài đặt DNS để sử dụng port1.

5. Nếu không thành công qua port1, thử qua port2 và cấu hình DNS lại.

exec ping-options reset
exec ping-options interface port2
exec ping 8.8.8.8
config sys DNS
   set interface-select-method specify
   set interface port2
end

• Nếu kết nối không thành công qua port1, thay đổi sang port2 và thực hiện lại kiểm tra.
• Nếu thành công qua port2, thực hiện cài đặt DNS để sử dụng port2.

6. Cấu hình FortiGuard để sử dụng cổng giống nhau.

config sys fortiguard
   set interface-select-method specify
   set interface port1
end

• Cấu hình FortiGuard để sử dụng cổng giống nhau với cài đặt DNS (ở trên) trên port1.

Những bước này giúp định rõ cách thiết bị FortiGate đang kết nối với internet, và nếu có vấn đề, chúng cung cấp cách khắc phục thông qua việc kiểm tra và cấu hình DNS và FortiGuard.

Tham khảo bài viết https://community.fortinet.com/t5/FortiGate/Technical-Tip-WAN-IP-unknown/ta-p/250026.