iT邦幫忙

0

Fortigate 100D 內部特定IP無法連外

vicentli 11 月前1115 瀏覽

我司有三條對外線路,所以我分別配置在WAN1、Wan2、DMZ

另外再把Port1設定為192.168.17.1/24 DHCP 192.168.17.2-10,

放置2-3台對外服務主機

Port2-16設定為Lan,192.168.16.1/24 DHCP 192.168.16.100-254

設定Lan可以連到Port1,Port1不能連到Lan

目前碰到一個狀況是,Port1上的192.168.17.2這個IP都無法連外出去,

但從內部Lan及外部可以連進來存取資源

我在同一張網卡上設置了192.168.17.3,就可以連出去

彷彿是192.168.17.2這個IP被鎖,試著更換網卡、及用其他電腦來使用此IP仍無法連外,

有人碰過嗎?謝謝

jimmyhiyawu iT邦新手 4 級 ‧ 11 月前 檢舉
您可以加一條lan→wan2全開的policy…
應該偶數的ip就能上網了…

如果全部都要用wan1上網的話,可以用政策路由。
vicentli iT邦新手 4 級 ‧ 11 月前 檢舉
我192.168.16.0/24 to wan1、wan2、dmz(wan3) 都全開了(我設定lan any to all allow),目前是port1 的192.168.17.0/24 to wan1、 wan2、dmz(實際是wan3)有all allow,但連不出去。不過192.168.17.3、192.168.17.4這2個IP都出的去。fortigate有自動阻擋IP功能嗎?怎麼檢查該是不是被封鎖(我沒有手動封鎖)

1 個回答

0
mytiny
iT邦大師 6 級 ‧ 11 月前

版大既然啟動了ECMP,就該對路由的規則有所了解
目前VIP mapping與port對port直連的優先權都高於ECMP
因此版大外對內及直接埠互通是正常的

建議版大不要設這種lan any to all allow規則
會讓判斷流量與政策增加困擾
如果版大不會用diag debug相關指令
還是費事點一條一條設政策
這樣才看得出流量到底有沒有經過

版大的狀況小弟認為還是出在ECMP及線路設定
如果2,3,4三個IP中,2出不去而3,4出的去
可見wan1是不通的,輪第二三條線才通
請查驗ECMP使用方式及權值設定
同時也別忘了查驗一下Wan1是否還正常
另外版大如果什麼都沒設
fortigate是沒有自動阻擋IP這種功能的(小弟沒聽說哪一家有)
還有七月已經過了,別太疑神疑鬼

vicentli iT邦新手 4 級 ‧ 11 月前 檢舉

ECMP設定權重負載平衡 45 Wan1、45 Wan2、10 DMZ(Wan3),不知這樣是否有設錯?Wan1(web server2、mail server)、Wan2(視訊會議、DVR Web界面、異地備援傳輸線路)、Wan3(web server、mail server)這三條應都有通,因各自有對外服務~其中一條不通我會收到外部寄來的故障通知信件。

vicentli iT邦新手 4 級 ‧ 11 月前 檢舉

附帶一提,我是先設定好其他特定協議要allow或要deny的規則後,最後一條才是lan 192.168.16.0/24 to all allow 及port1 192.168.17.0/24 to all allow 現在就port1的192.168.17.2這IP對外不通,覺得怪

vicentli iT邦新手 4 級 ‧ 11 月前 檢舉

diag debug 我研究看看,感謝

我要發表回答

立即登入回答