作者 主題: fortigate 也是政策路由問題  (閱讀 11601 次)

0 會員 與 1 訪客 正在閱讀本文。

twoseven

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
fortigate 也是政策路由問題
« 於: 2012-11-22 10:20 »
兩條對外
wan1  211.x.x.x
wan2  200.x.x.x
內網
internal 192.168.1.x
原本使用
防火牆規則
internal all -> wan1 all  啟用nat
internal all -> wan2 all  啟用nat
這樣是完全沒問題的

後來想指定一台192.168.1.20 指定從wan1 出去
所以設定政策路由
======================
協定編號:0
進入介面 internal
來源 192.168.1.20/255.255.255.255
目的 0.0.0.0/0.0.0.0
目的port 從1至65535
輸出介面wan1
閘道器 211.x.x.254
======================
設定完之後  確定對外沒問題  出去的ip都是wan1  做任何服務也都是對的ip(在對方主機看)
可是真正問題來了,這樣設定完之後,當我連線 wan1 wan2的實體ip(211.x.x.x , 200.x.x.x)的服務
卻無法連線,譬如web sql ftp等等都無法連線   兩個實體ip都一樣
但是使用ping tracert卻可以獲得回應 
使用目的192.168.xx連線該服務則沒問題
但是有原因一定要可以使用到他的實體ip  如web服務指定了dns,不能用http://192.168.x.x去連線
請問是哪邊有問題呢??是因為協定編號不可以填0?我改6結果也是一樣
這問題其實已經困擾幾個月,現在因為真的必要了所以希望可以獲得解答
謝謝各位

« 上次編輯: 2012-11-22 10:27 由 twoseven »

♂帆°☆

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
Re: fortigate 也是政策路由問題
« 回覆 #1 於: 2012-11-22 14:08 »
後面的敘述 ~ 看不太懂 ~

wan1 這條是 PPPOE 還是 固定 IP 呢?

如果是PPPOE的話,你可以試著把 策略路由裡的 閘道器 設成 0.0.0.0 試試看 ~

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1370
    • 檢視個人資料
    • http://darkranger.no-ip.org
Re: fortigate 也是政策路由問題
« 回覆 #2 於: 2012-11-22 14:21 »
呃,我很認真的把公司裡一台也是forigate的機器叫出來看
在不動設定的情況下試圖理解樓主到底發生了什麼事....

樓主有沒有試著做private ip<->public ip的虛擬IP對應?

twoseven

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
Re: fortigate 也是政策路由問題
« 回覆 #3 於: 2012-11-22 15:42 »
你好, wan1跟wan2 都是實體ip 兩條都是固定ip
閘道器改成0.0.0.0結果是一樣
以下簡潔描述一下遇到的的問題

簡單說  當我設定 政策路由指定某內網ip固定使用wan1出去或是wan2
設定好之後對外都無任何問題,可以正常上網,對外的ip也確定都是指定的wan ip

整個流程下來唯一的問題就是設定好了之後 "將無法連線到自己的wan1 wan2實體ip"
ps.補充一下 上面那段 "將無法連線到自己的wan1 wan2實體ip"
指的是  指定政策路由來源ip 無法連線到 如指定 來源:192.168.0.20  目的:wan1出去
只有192.168.0.20這台無法連線到 wan1跟wan2  其他ip都是可以連線的,包含外面要連進來都是沒問題


假設有
wan1:211.70.70.70   (有web服務,ftp服務,sql服務 都指向同一台內網)
wan2:222.80.80.80   (有web服務,ftp服務,sql服務 都指向同一台內網)
====================
當政策路由設定之後  對外甚麼的都ok 內網也ok
使用 http://211.70.70.70/   or  http://222.80.80.80/   無回應  瀏覽器會等待一段時間後出現無法連線
使用 ftp軟體連線   無回應 等待一段時間後出現無法連線
使用 sql連線   無回應  會等待一段時間後出現無法連線
使用ping 211.70.70.70 獲得正常回應( 結果與無設定政策路由一樣)
使用tracert 211.70.70.70 直接得到一筆結果  ( 結果與無設定政策路由一樣)
===================
總之就是所有對外連線都正常,但是就是無法連線到自己的wan1跟wan2 (不管政策路由指定哪條出去  兩個wan都會連不到)
=========
回darkranger: 你好,所有的服務在沒有政策路由狀態下都是沒問題的,只有設定政策路由之後才會有此問題
且只有政策路由指定來源的ip會這樣,其他都不會,就是所有功能都正常,但是政策路油的來源ip無法連線wan1跟wan2的實體ip
 :'(

=======================
http://phorum.study-area.org/index.php/topic,67671.0.html 這篇的情況有點類似
« 上次編輯: 2012-11-22 17:38 由 twoseven »

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
Re: fortigate 也是政策路由問題
« 回覆 #4 於: 2012-11-28 11:10 »
這種不合常理的routing,會能通過才奇怪
該走lan的封包不走lan,卻硬要跑到wan去繞一圈再回來,仔細想想吧,這樣的架構合不合理

twoseven

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
Re: fortigate 也是政策路由問題
« 回覆 #5 於: 2012-11-30 17:08 »
你好,對這部分確實不太懂
想請教一下如果要設定 Lan走Lan 針對自己的實體ip  該如何設定政策路由
我所希望的只是可以讓某內部ip對外固定走某一實體ip
只是照著很多篇網路設定政策路由之後,雖然對外確實可以做到走該實體ip
唯一問題就是無法連到自己的實體ipˊˋ
希望可以指教我的需求可以怎做比較好,謝謝

wlhfor

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
Re: fortigate 也是政策路由問題
« 回覆 #6 於: 2012-12-13 19:22 »
為何一定要192.168.1.X->211.70.70.70-->mapping192.168.1.X?,為何不192.168.1.X->192.168.1.X???

小弟唯一想到的是你把www.abc.com->211.70.70.70 211.80.80.80


twoseven

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
Re: fortigate 也是政策路由問題
« 回覆 #7 於: 2012-12-26 17:20 »
你好,感謝你的回覆
如你所說  www.abc.com.tw 指向的當然是實體ip  211.70.70.70 (wan1)
而wan1 211.70.70.70: 80port 指向 internal 192.168.1.1:80

此時我要上該網站是打 www.abc.com.tw  而不是打192.168.1.1吧@@
如果有很多個dns指向iis不同的web應用程式,那用http://192.168.1.1就連不到了
www.AAA.com.tw -> 192.168.1.1  iis:甲網站
    www.BBB.com.tw -> 192.168.1.1   iis:乙網站

再次簡化一下我的需求
------------------------------------------
對外 wan1 wan2
internal內網 192.168.1.1    192.168.1.100
internal all->wan1 nat
internal all->wan2 nat
wan1 wan2 設定 80 port -> 192.168.1.1 80port
以上為最簡易設定
執行結果: 內網可正常上下網,外面的人可連線80 port,兩ip皆正常,內網對外ip則是看防火牆用甚麼平衡(根據來源ip,權重,溢出3種)

新的需求  192.168.1.100  對外對內  都只跑wan2  不受到防火牆平衡影響
使用政策路由  設定 進入介面 internal 來源ip 192.168.1.100 目的 0.0.0.0  輸出介面 wan2 協定編號 0
執行結果: 上一個執行結果都沒受到影響一樣可正常執行
唯一影響: 192.168.1.100 已可正確輸出輸入只跑wan2, 但是將無法使用實體連線自己的 wan1 wan2 如111.222.33.44:80

可以的話也能直接針對我的需求提供方法給我參考,不一定要用我目前的設定當前提,感謝收看,謝謝

« 上次編輯: 2012-12-26 17:35 由 twoseven »

wlhfor

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
Re: fortigate 也是政策路由問題
« 回覆 #8 於: 2013-02-01 11:59 »

如果弄兩台DNS,一個外部DNS,一個內部DNS
外部DNS:www.abc.com.tw 211.70.70.70
內部DNS:www.abc.com.tw 192.168.1.1
公司內使用者DNS設定
第一個設內部DNS
第二個設168.95.1.1
那公司內部的人連www.abc.com.tw就會直接連到192.168.1.1,而不是連到211.70.70.70