前言

用了很久的RouterOS，忽然想换了，也可能是RouterOS的容器(container)限制诸多。

闲言

于是开始选择产品，曾经各用过ClearOS、爱快、高恪、openwrt、padavan、XiaoQiang等等。

不知什么时候看到NGFW的介绍，不如试试防火墙，于是去翻了魔力象限。

看到左上角领导者方块里一个叫Fortinet的公司，接着找到叫FortiGate的这么一款产品。（现在想来我看是早有预谋。。。）

遂查找国内各大信息茧房，发现也有不少SOHO在用这款产品，于是跟风。

需要注意的地方

配置上，除了刚开始需要了解下：

1. 防火墙策略（隐式拒绝、NAT、NAS各种诸如qBittorrent和SMB和Syncthing和MoviePilot和和和和和。。。等服务的放行、虚拟IP，基本等同于端口映射、IPSec放行、地址对象，又分IP和MAC ,接口范围，一系列地址类型等、地址取反，需要在“可选功能”里打开，RouterOS里的!，也就是!=）、

2. 策略路由（对接海外出口网关使用，小猫你懂的，用飞塔防火墙还蛮方便的，能直接套用飞塔的GEOIP，配置完成后基本无感出国）、

3. 接口（是的，如果想上网同时访问配置光猫，不能直接把接口改成PPPoE模式，需要新建一个PPPoE接口，然后把原接口IP配置成与光猫同网段。。。其实跟原来RouterOS也差不多啦，只是思考突然固化了）、

4. FortiDDNS（需要通过命令行配置，VM版本不支持GUI操作，配置完成后把拿到的域名绑定到自己的域名，具体参考官方文档）

5. IPSec（对等体ID搞半天，原来是Android里的IPSec标识符。。。其他也无非是cli里diag deb ena再diag app ike -1之后慢慢尝试匹配出双端共同支持的加密协商方法了，记得放开防火墙策略，具体参见官方配置文档）

这些差异功能如何配置，其他基本上没有难度，仪表板、FortiView这些基本上看个人。

番外

好奇这里思科为什么掉到挑战者了？

但是还是想试试PaloAlto

讲开又讲

我等个人AIO玩家注定无法接受这比起家用无线路由器来说高昂的设备价格和授权费滴。

所以，对，仍然是PVE KVM，感谢NFV概念，感谢开源社区，感谢那个大大，感谢Fortinet，日后定补票。

如何解决授权问题

虽然很可齿，但我还是打算提一下：

在想换NGFW的那天晚上，看到一个大大的博客。

那个大大搞定了FortiGate-VM中某些版本（25/05/28勘误：止步于v7.2.7b1577）的license验证，

并把方法和工具发布到GitHub（见文末引用）上，使得我等玩家可以尝试FortiGate。（当时甚至见到海鲜市场卖出成百上千的价格，感叹信息差的恐怖）

正好那时官网还能注册账号下载到这套工具可使用的版本镜像，

现在（v7.2.8-v7.4+？未证实）已经不能通过生成假授权这种旧方法绕过license了，只能用大大提供的另一种方法patch系统文件来绕过。

后来顺水推舟，成功安装并开始使用，体验相当不错。

再次感谢Fortinet，感谢大大。

Ref :

• Catalpa’s Blog

• GitHub Repo rrrrrrri/fgt-gadgets

• Fortinet