fortigate 100D &內網外網設定

fortigate

cat87031 2016-08-02 15:07:19 ‧ 15780 瀏覽

公司內部wan1( 192.168.1.1 ) wan2(192.168.2.1)

使用鼎新EFGP

若要開放對外(由外部連回內網 http://192.168.1.1) 鼎新要求EFGP IP要打外部IP (192.168.1.1)

但公司內部有些電腦沒有開放對外,所以無法連線對外

那要如何設定呢...fortigate 100D

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

做工仔人!

iT邦大師 1 級 ‧ 2016-08-02 15:31:41

wan1 及 wan2 不太可能是用 192.168.1.1及192.168.2.1這二個網段吧?

要用虛擬IP 的方式MAP 進公司內部.
在"防火牆物件" -> "虛擬IP" ->"虛擬IP"中先設定好虛擬IP 對照的內部IP (如: 實際IP 123.123.123.123 對照內部IP 的 192.168.1.100 port : tcp 全開 0-65535)

再從"規則"->"防火牆策略"->"防火牆策略"中增加一筆
wan1 -> 虛擬IP 的規則 , port 只要開 8080 就可以了.
(如果沒有8080 的服務可以選用, 請在"防火牆物件"->"服務"->"服務"中增加一筆 8080 的服務)

回應 7
分享
檢舉

看更多先前的回應...收起先前的回應...

cat87031 iT邦新手 4 級 ‧ 2016-08-03 10:13:46 檢舉

實際有2個對外IP 123.123.123.123 , 123.123.123.124 ,
目前在防火牆對外ip123.123.123.123

124.123.123.123.124是給EFGP使用

目前由家裡要連回123.123.123.124,是可以開啟系統網頁(如大頭前輩說的,我在防火牆已有設定123.123.123.124→192.168.1.100)

公司內部是192.168.1.X ,但公司規定不能連網站(意思是連奇摩都不能連,單純的網內使用)

192.168.1.X要都能連123.123.123.124 ,問題,只能跑內網如何把192.168.1.X的網段的PC都可以連線至123.123.123.124,但又不能上其他網頁

做工仔人! iT邦大師 1 級 ‧ 2016-08-03 10:55:48 檢舉

這個說法是不對的啊 !

應該是:
人在外部,連EFGP 是連: 123.123.123.124
人在內部,連EFGP是連: 192.168.1.100

這樣跟內部可不可以上網無關.

對於NB的使用者(他們可能一下子在內,一下子在外),有二個處理方式:
簡單的:給二個連絡: 一個FOR 在外部使用(連123.123.123.124), 一個FOR 在內部使用(連192.168.1.100)
另一個方式:就是讓USER 在外部時,先用FORTICLIENT 連VPN 回公司.
再以內部方式連線.

cat87031 iT邦新手 4 級 ‧ 2016-08-03 11:20:46 檢舉

大頭大大,我們先對焦:
目前公司內部無法連線到網外(ex:google或奇摩等..都不能連線) ,單純內網
因為鼎新EFGP WEB連線開單,有一個設定一定要指向外部IP (固定IP 123.123.123.124 )

所以在公司內部的人,無法在192.168.1.X的網段裡無法開啟123.123.123.124 的WEB

做工仔人! iT邦大師 1 級 ‧ 2016-08-03 11:29:35 檢舉

請問: EFGP 這台主機實際上是在內網 (192.168.1.100) /還是在DMZ 區 / 在外網(123.123.123.124) ?

cat87031 iT邦新手 4 級 ‧ 2016-08-03 11:31:03 檢舉

EFGP 這台主機實際上是在內網 (192.168.1.100),我有設虛擬IP (123.123.123.124→192.168.1.100)

做工仔人! iT邦大師 1 級 ‧ 2016-08-03 12:02:14 檢舉

公司的內網是: 192.168.1.0/24 的網段吧?
所以在公司內部(就是電腦所取的IP 是192.168.1.XXX )的電腦,直接連:
http://192.168.1.100:8080/NaNaWeb/GP//Authentication?hdnMethod=switchLanguage
會連不到嗎 ?