作者 主題: 請問 Fortigate 110C 防火牆分流的問題  (閱讀 4995 次)

0 會員 與 1 訪客 正在閱讀本文。

tzongyeu

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
    • PGX : Face The World


大家好,上圖是我現在網路的簡圖

在 Fortigate 110C 上我在設定兩條線路分流的功能

但是遇到一個問題,就是wan端的ip彼此無法連線

比方說 59.186.96.68 連不到 59.186.96.69 整個網段都是

58.132.68.16 那個網段也是彼此互連不到

但是 NAT裡私有IP的部分相互連線都正常


我是設定了 兩個WAN Gateway 的靜態路由 一個 NAT Gateway的靜態路由

然後在政策路由設定由 switch -> wan1 or wan2,分別設為兩條線路的Gateway

Policy暫時設定全開

請問我還有哪裡沒注意到的嗎? 謝謝各位

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
Re: 請問 Fortigate 110C 防火牆分流的問題
« 回覆 #1 於: 2012-09-17 10:12 »
我是設定了 兩個WAN Gateway 的靜態路由 一個 NAT Gateway的靜態路由
然後在政策路由設定由 switch -> wan1 or wan2,分別設為兩條線路的Gateway

可以先把這些路由都拿掉試試看嗎?

以個人經驗會想這樣做:
1. LAN 端 IP 192.168.xx.xx / 24 , 無 Gateway (本來就不需要)
2. WAN1 端 IP 58.132.68.16 / 28 , Gateway 指向 ISP
3. WAN2 端 IP 59.186.96.64 / 27 , Gateway 指向 ISP
4. 只接 WAN1 線路, 測試看看連線是否正常, 包括 LAN -> WAN1 , 本機 -> WAN1 , LAN -> 本機
5. 只接 WAN2 線路, 測試看看連線是否正常, 同上
6. 同時街 WAN1 & WAN2 , 測試看看連線是否正常, 並使用 traceroute 確認目前走哪個 WAN (通常是只走 WAN1 )
7. 以上都通了才開始設定 policy route , 可以先從較簡單的, 例如:
dest port 80 走 wan2 , dest port 443 走 wan1
這樣連 http 與 https 就可以確認出來了

冷笑話: 我的 IP 是 127.0.0.1

tzongyeu

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
    • PGX : Face The World
Re: 請問 Fortigate 110C 防火牆分流的問題
« 回覆 #2 於: 2012-09-17 18:40 »
謝謝Slime的回覆,第一點有拿掉,的確會通~ 謝謝
第二點與第三點是設在靜態路由的意思嗎?
之後再設policy route,這樣嗎?

我只要把WAN2的Gateway設定上去,NAT裡的機器就會有不知道走哪條線路出去的現象... (辦公室連不上Server作業瞬間哀鴻遍野~)
dest: 0.0.0.0/0.0.0.0  設備: wan2  gateway: 59.186.96.65(ISP給的Gateway)
不知道是不是上面的部分這邊設錯了(Wan1是一樣的原則設的)

還有我比較大問題是,實體IP間彼此無法互相連線!
因為我們服務都是伺服器實體IP間互聯,沒辦法走私有IP...


因為機器都在國外... WAN2的部分是申請好請人接上Firewall的
所以沒辦法做很詳細的測試... (最壞的打算就是再弄一台Firewall寄去請人接上去了)

我是設定了 兩個WAN Gateway 的靜態路由 一個 NAT Gateway的靜態路由
然後在政策路由設定由 switch -> wan1 or wan2,分別設為兩條線路的Gateway

可以先把這些路由都拿掉試試看嗎?

以個人經驗會想這樣做:
1. LAN 端 IP 192.168.xx.xx / 24 , 無 Gateway (本來就不需要)
2. WAN1 端 IP 58.132.68.16 / 28 , Gateway 指向 ISP
3. WAN2 端 IP 59.186.96.64 / 27 , Gateway 指向 ISP
4. 只接 WAN1 線路, 測試看看連線是否正常, 包括 LAN -> WAN1 , 本機 -> WAN1 , LAN -> 本機
5. 只接 WAN2 線路, 測試看看連線是否正常, 同上
6. 同時街 WAN1 & WAN2 , 測試看看連線是否正常, 並使用 traceroute 確認目前走哪個 WAN (通常是只走 WAN1 )
7. 以上都通了才開始設定 policy route , 可以先從較簡單的, 例如:
dest port 80 走 wan2 , dest port 443 走 wan1
這樣連 http 與 https 就可以確認出來了
« 上次編輯: 2012-09-17 18:47 由 tzongyeu »

dark

  • 俺是博士!
  • *****
  • 文章數: 1533
    • 檢視個人資料
Re: 請問 Fortigate 110C 防火牆分流的問題
« 回覆 #3 於: 2012-09-18 12:47 »
實體IP間互相連線 , 是跑什麼服務 ?
應該申請 wan2 前就達不到了吧 ...

NAT 是在 switch 還是 fw 做 ?


lab 完傳 config 過去就好了吧

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4226
    • 檢視個人資料
    • http://blog.damon.tw/
Re: 請問 Fortigate 110C 防火牆分流的問題
« 回覆 #4 於: 2012-09-20 15:50 »
有甚麼需求是需要同一各區網裡面的機器,彼此要用public ip來連?

treble

  • 活潑的大學生
  • ***
  • 文章數: 215
    • 檢視個人資料
    • 牛的大腦
Re: 請問 Fortigate 110C 防火牆分流的問題
« 回覆 #5 於: 2012-10-23 22:40 »
目前猜測是routing的問題

不過我有一點很好奇
"但是遇到一個問題,就是wan端的ip彼此無法連線"

你透過何種方式,判斷他們無法互連?
[牛的大腦  http://systw.net ] 用來放一些筆記資料
[單字我朋友  http://systw.net/word ] 練英文用的
2分鐘檢測你的單字能力 http://systw.net/word/q.php