iT邦幫忙

0

fortigate 100D &內網外網設定

cat87031 1 年前2400 瀏覽

公司內部wan1( 192.168.1.1 ) wan2(192.168.2.1)

使用鼎新EFGP

若要開放對外(由外部連回內網 http://192.168.1.1) 鼎新要求EFGP IP要打外部IP (192.168.1.1)

但公司內部有些電腦沒有開放對外,所以無法連線對外

那要如何設定呢...fortigate 100D

1
做工仔人!
iT邦高手 1 級 ‧ 1 年前

wan1 及 wan2 不太可能是用 192.168.1.1及192.168.2.1這二個網段吧?

要用 虛擬IP 的方式MAP 進公司內部.
在"防火牆物件" -> "虛擬IP" ->"虛擬IP"中先設定好 虛擬IP 對照的內部IP (如: 實際IP 123.123.123.123 對照 內部IP 的 192.168.1.100 port : tcp 全開 0-65535)

再從"規則"->"防火牆策略"->"防火牆策略"中增加一筆
wan1 -> 虛擬IP 的規則 , port 只要開 8080 就可以了.
(如果沒有8080 的服務可以選用, 請在"防火牆物件"->"服務"->"服務"中增加一筆 8080 的服務)

看更多先前的回應...收起先前的回應...
cat87031 iT邦新手 4 級 ‧ 1 年前 檢舉

實際有2個對 外IP 123.123.123.123 , 123.123.123.124 ,
目前在防火牆對外ip123.123.123.123

124.123.123.123.124是給EFGP使用

目前由家裡要連回123.123.123.124,是可以開啟系統網頁(如大頭前輩說的,我在防火牆已有設定123.123.123.124→192.168.1.100)

公司內部是192.168.1.X ,但公司規定不能連網站(意思是連奇摩都不能連,單純的網內使用)

192.168.1.X要都能連123.123.123.124 ,問題,只能跑內網如何把192.168.1.X的網段的PC都可以連線至123.123.123.124,但 又不能上其他網頁

做工仔人! iT邦高手 1 級 ‧ 1 年前 檢舉

這個說法是不對的啊 !

應該是:
人在外部,連EFGP 是連: 123.123.123.124
人在內部,連EFGP是連: 192.168.1.100

這樣跟內部可不可以上網無關.

對於NB的使用者(他們可能一下子在內,一下子在外),有二個處理方式:
簡單的:給二個連絡: 一個FOR 在外部使用(連123.123.123.124), 一個FOR 在內部使用(連192.168.1.100)
另一個方式:就是讓USER 在外部時,先用FORTICLIENT 連VPN 回公司.
再以內部方式連線.

cat87031 iT邦新手 4 級 ‧ 1 年前 檢舉

大頭大大,我們先對焦:
目前公司內部無法連線到網外(ex:google或奇摩等..都不能連線) ,單純內網
因為鼎新EFGP WEB連線開單,有一個設定一定要指向外部IP (固定IP 123.123.123.124 )

所以在公司內部的人,無法在192.168.1.X的網段裡無法開啟123.123.123.124 的WEB

做工仔人! iT邦高手 1 級 ‧ 1 年前 檢舉

請問: EFGP 這台主機實際上是在內網 (192.168.1.100) /還是在DMZ 區 / 在外網(123.123.123.124) ?

cat87031 iT邦新手 4 級 ‧ 1 年前 檢舉

EFGP 這台主機實際上是在內網 (192.168.1.100),我有設虛擬IP (123.123.123.124→192.168.1.100)

做工仔人! iT邦高手 1 級 ‧ 1 年前 檢舉

公司的內網是: 192.168.1.0/24 的網段吧?
所以在公司內部(就是電腦所取的IP 是192.168.1.XXX )的電腦,直接連:
http://192.168.1.100:8080/NaNaWeb/GP//Authentication?hdnMethod=switchLanguage
會連不到嗎 ?

shing_pascal iT邦新手 5 級 ‧ 1 年前 檢舉

除了 虛擬IP外,PORT也要設定,才能正常連接!

0
mytiny
iT邦大師 6 級 ‧ 1 年前

感覺版大似乎分不清楚內外網

不如好好畫張圖給其他前輩先進仔細說明

至於mapping及port forwarding正解如大頭大所說

如果會弄就自行試試

如果不會就花錢找專業的去

kennex iT邦新手 5 級 ‧ 1 年前 檢舉

老是不想花錢就想弄好專業技術問題..買設備不買服務...再來問...

cat87031 iT邦新手 4 級 ‧ 1 年前 檢舉

有花錢,也有買服務,但他們就處理不好.只好上來問..因為公司就急著要解決,工程師也在處理中

0
shing_pascal
iT邦新手 5 級 ‧ 1 年前

用 fortigate SSL VPN 連回公司 就OK了!
可直接連到 WFGP ,不用改WFGP 的IP 設定!

cat87031 iT邦新手 4 級 ‧ 1 年前 檢舉

嘆..公司的主管..覺得麻煩( fortigate SSL VPN )

0
mack078
iT邦新手 5 級 ‧ 1 年前

現在是你的同仁要連 還是??
你對外開放後
wan -> 內部ip = 虛擬伺服器對應 80:80 (網頁 ?) ,還是頂新自已的erp服務 ?

條例也要開放才會通 ,所以在到防火牆策略,開放外wan to lan(虛擬-應該自已會帶)

還有遺失的嗎 , 應該就這樣了吧~

在不然就下載 ftclient 用sslvpn連回公司使用吧~不過要先設定給予的網段,然後記的關外網 連上只能用內網~

我要發表回答

立即登入回答