作者主題: 請問 Fortigate 110C 防火牆分流的問題 (閱讀 7367 次)

tzongyeu · « 於: 2012-09-17 09:52 »

大家好，上圖是我現在網路的簡圖

在 Fortigate 110C 上我在設定兩條線路分流的功能

但是遇到一個問題，就是wan端的ip彼此無法連線

比方說 59.186.96.68 連不到 59.186.96.69 整個網段都是

58.132.68.16 那個網段也是彼此互連不到

但是 NAT裡私有IP的部分相互連線都正常

我是設定了兩個WAN Gateway 的靜態路由一個 NAT Gateway的靜態路由

然後在政策路由設定由 switch -> wan1 or wan2，分別設為兩條線路的Gateway

Policy暫時設定全開

請問我還有哪裡沒注意到的嗎？謝謝各位

slime · « **回覆 #1 於:** 2012-09-17 10:12 »

引述: tzongyeu 於 2012-09-17 09:52

我是設定了兩個WAN Gateway 的靜態路由一個 NAT Gateway的靜態路由
然後在政策路由設定由 switch -> wan1 or wan2，分別設為兩條線路的Gateway

可以先把這些路由都拿掉試試看嗎?

以個人經驗會想這樣做:
1. LAN 端 IP 192.168.xx.xx / 24 , 無 Gateway (本來就不需要)
2. WAN1 端 IP 58.132.68.16 / 28 , Gateway 指向 ISP
3. WAN2 端 IP 59.186.96.64 / 27 , Gateway 指向 ISP
4. 只接 WAN1 線路, 測試看看連線是否正常, 包括 LAN -> WAN1 , 本機 -> WAN1 , LAN -> 本機
5. 只接 WAN2 線路, 測試看看連線是否正常, 同上
6. 同時街 WAN1 & WAN2 , 測試看看連線是否正常, 並使用 traceroute 確認目前走哪個 WAN (通常是只走 WAN1 )
7. 以上都通了才開始設定 policy route , 可以先從較簡單的, 例如:
dest port 80 走 wan2 , dest port 443 走 wan1
這樣連 http 與 https 就可以確認出來了

tzongyeu · « **回覆 #2 於:** 2012-09-17 18:40 »

謝謝Slime的回覆，第一點有拿掉，的確會通~ 謝謝
第二點與第三點是設在靜態路由的意思嗎？
之後再設policy route，這樣嗎？

我只要把WAN2的Gateway設定上去，NAT裡的機器就會有不知道走哪條線路出去的現象... (辦公室連不上Server作業瞬間哀鴻遍野~)
dest: 0.0.0.0/0.0.0.0 設備: wan2 gateway: 59.186.96.65(ISP給的Gateway)
不知道是不是上面的部分這邊設錯了(Wan1是一樣的原則設的)

還有我比較大問題是，實體IP間彼此無法互相連線！
因為我們服務都是伺服器實體IP間互聯，沒辦法走私有IP...

因為機器都在國外... WAN2的部分是申請好請人接上Firewall的
所以沒辦法做很詳細的測試... (最壞的打算就是再弄一台Firewall寄去請人接上去了)

引述: slime 於 2012-09-17 10:12

引述: tzongyeu 於 2012-09-17 09:52
我是設定了兩個WAN Gateway 的靜態路由一個 NAT Gateway的靜態路由
然後在政策路由設定由 switch -> wan1 or wan2，分別設為兩條線路的Gateway

可以先把這些路由都拿掉試試看嗎?

以個人經驗會想這樣做:
1. LAN 端 IP 192.168.xx.xx / 24 , 無 Gateway (本來就不需要)
2. WAN1 端 IP 58.132.68.16 / 28 , Gateway 指向 ISP
3. WAN2 端 IP 59.186.96.64 / 27 , Gateway 指向 ISP
4. 只接 WAN1 線路, 測試看看連線是否正常, 包括 LAN -> WAN1 , 本機 -> WAN1 , LAN -> 本機
5. 只接 WAN2 線路, 測試看看連線是否正常, 同上
6. 同時街 WAN1 & WAN2 , 測試看看連線是否正常, 並使用 traceroute 確認目前走哪個 WAN (通常是只走 WAN1 )
7. 以上都通了才開始設定 policy route , 可以先從較簡單的, 例如:
dest port 80 走 wan2 , dest port 443 走 wan1
這樣連 http 與 https 就可以確認出來了

dark · « **回覆 #3 於:** 2012-09-18 12:47 »

實體IP間互相連線 , 是跑什麼服務 ?
應該申請 wan2 前就達不到了吧 ...

NAT 是在 switch 還是 fw 做 ?

lab 完傳 config 過去就好了吧

damon · « **回覆 #4 於:** 2012-09-20 15:50 »

有甚麼需求是需要同一各區網裡面的機器，彼此要用public ip來連？

treble · « **回覆 #5 於:** 2012-10-23 22:40 »

目前猜測是routing的問題

不過我有一點很好奇
"但是遇到一個問題，就是wan端的ip彼此無法連線"

你透過何種方式,判斷他們無法互連?

酷!學園

最新消息: