iT邦幫忙

1

關於Fortigate 60B通透模式的問題

  • 分享至 

  • xImage

各位先進好,小弟是剛進IT界不久的菜鳥,目前在一間傳統產業擔任MIS,
公司日前打算添購一台頻寬管理器,也有跟廠商借機器測試,
公司有二條外線,之前的接法是一條外線接一台60B防火牆
加入頻寬管理器後,外線勢必要統一接在頻管管理器上
頻寬管理器後打算接一台60B防火牆,且已經把防火牆設為通透模式
我的接法如下:

頻寬管理器LAN->60B WAN
60B LAN1->SMC L3
60B管理IP為192.168.1.253
接上去後Client端無法上網

如果把接法改為:

頻寬管理器LAN->60B LAN1
60B LAN2->SMC L3
接上去後Client端可以上網,但我無法進入60B的管理介面,也Ping不到192.168.1.253
而且如果要在60B設定policy,邏輯好像也怪怪的...

請問是我的觀念哪裡有錯誤嗎?
第一次發問,還請各位先進多多指教謝謝

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
8
小夫
iT邦新手 2 級 ‧ 2011-04-17 22:07:45
最佳解答

我先說說看觀念,看是否對你問題有解
防火牆設備的policy是以Interface or zone為控管方向之依據,簡單說當你架構是如此時:LAN-PC → EMC L3→ FG80B"LAN1" → FG80B"WAN" → 頻寬管理器"LAN"
你有可能是 LAN to WAN policy尚未設定,且預設會阻擋任何封包進出WAN/LAN端介面,相對Client 就無法上網!

你另一個架構:LAN-PC → EMC L3→ FG80B"LAN2" → FG80B"LAN1" → 頻寬管理器"LAN"
你說Client可以上網,是因為設備LAN1/LAN2之間是switch mode,所以設備預設是允許封包進出LAN與LAN介面中,所以你policy沒設定client也能上網;

那無法管理FG80B以及ping可能原因是這樣:你的管理IP是設定於WAN界面上,當你使用第二架構時WAN端根本沒有接線路( =interface not uplink)所以你管理不到ping不到是正常的!

如果我上述內容符合您現況,建議做法有二:
1、使用第一架構時,請設定WAN ← → LAN之間的policy!
2、使用第二架構時,請將管理介面(WAN)接一條網路線與EMC L3連接,這樣你就能管理了!
但你最好要進行LAN1 ← → LAN2之間的policy 設定!以符合公司管理需求!

tn11428 iT邦新手 4 級 ‧ 2011-04-19 18:40:49 檢舉

感謝ho77199大大 今天把它重新設定
頻寬管理器IP:192.168.100.1
F60B IP:192.168.1.253
SMC IP:192.168.1.254
通透模式已設定
設定完後到路由表 可以看到default route往192.168.100.1
目前client可以上網 但ping不到192.168.1.253
而且從防火牆也ping不到192.168.100.1與192.168.1.254

小夫 iT邦新手 2 級 ‧ 2011-04-23 22:17:14 檢舉

依照上述你說明的IP,這樣就糊塗啦!
F60B既然是透通模式,怎麼頻寬管理器的IP與下面設備(FG/SMC)的IP網段不一樣呢?
1、你覺得合不合理?
2、建議你將從PC端一直到ISP端的細節架構畫張圖來討論比較不會空談!
您可以在架構圖中將IP模擬寫出即可,無須將真正的公司IP資訊寫出!
真的找不出問題點,可以用私人訊息告知我MSN帳號,再作討論!

tn11428 iT邦新手 4 級 ‧ 2011-04-26 08:26:42 檢舉

感謝ho77199大大的回答
的確是小弟搞糊塗了Orz
我的IP位址設錯了囧
已經把問題解決了,這麼初階的問題還麻煩這麼多人真不好意思

6
oowo
iT邦高手 1 級 ‧ 2011-04-16 13:05:05

你頻寬管理器的型號是?
雖說我也只是個小菜鳥....不過頻寬管理器卻有好幾種…

tn11428 iT邦新手 4 級 ‧ 2011-04-16 19:57:49 檢舉

廠商借測的型號是:peplink 380

ktweng iT邦新手 2 級 ‧ 2011-04-17 21:07:26 檢舉

你的第一種接法是正確的,不過你的應該是頻寬管理器設成透通模式才對,防火牆可以不修改設定即可,不過這樣的接法再設定有點小複雜會有source NAT與destination NAT的設定做搭配,建議你先將架構都規劃好,再拿可以運用的產品去做測試

tn11428 iT邦新手 4 級 ‧ 2011-04-19 18:43:52 檢舉

目前是打算把頻寬管理器放在最前端 也就是
外線->頻寬管理器->防火牆->SMC L3
防火牆設通透模式

10
assaxc
iT邦新手 5 級 ‧ 2011-04-17 12:01:33

請問我是兩條線我的是 200B 我有切3個VLAN 對內都OK但是就是出不去
192.168.1.X 192.168.2.X 走A線 (可以上網)
192.168.3.X 走B線 (出不去)
.3 PING .1 .2 都可以通就是出不去
所有設定都跟.1段的一樣也不知道哪裡出了問題。

看更多先前的回應...收起先前的回應...
ktweng iT邦新手 2 級 ‧ 2011-04-17 21:00:24 檢舉

你這可能是192.168.3.x 沒有設定 policy route,所以它還是走原來的defautl route,又 vlna 192.168.3.x 沒有開對wan1的policy,所以無法上網,建議找有經驗的廠商幫你做設定

robinlu iT邦新手 4 級 ‧ 2011-04-17 23:07:42 檢舉

不曉得FG200B跟FG100A有無不同,
我們公司是用FG100A接兩條Internet如你所說A路,B路
要先設定靜態路由,設定相同的Distance才能出去,如:
0.0.0.0/0.0.0.0 123.xx.xx.xx WAN1 10
0.0.0.0/0.0.0.0 220.xx.xx.xx WAN2 10
之後到Policy Route政策路由上設定 那些IP要透過那條線路出去,
每一段都要指定如你的192.168.1.X Internal 要由 WAN1出去
192.168.2.X DMZ1 要由WAN1 出去
192.168.3.X DMZ1 要由WAN2 出去
另外幾個內網互通如Internal -> DMZ1, Internal ->DMZ2或是
DMZ1->Internal, DMZ1-> DMZ2 ; DMZ2->Internal, DMZ2->DMZ1都要設定出來
不然就不會通.
而FG 100A的Policy Route 只能設定16筆,因此設定上就會又麻煩又被重重綁住.
若你們有ssl.root 用起來就會有點不夠.
希望我寫的你能看得懂. 因為我們就是這樣Run的,否則就要像樓主一樣用頻寬管理器會容易些

robinlu iT邦新手 4 級 ‧ 2011-04-17 23:09:02 檢舉

robinlu提到:
192.168.3.X DMZ1 要由WAN2 出去

修正192.168.3.X DMZ2 要由WAN2 出去

assaxc iT邦新手 5 級 ‧ 2011-04-18 15:09:26 檢舉

感謝robinlu兄
之前靜態路由已經有設定,目前我把B線的優先權改成0就可以出去了,但是變成A出不去(A優先權也是0),我猜會不會是相同優先權會出現問題我把A改成10還是出不去,現在卡在這裡不知道要怎麼辦只要是0就可以出去相同時只有B出得去...

robinlu iT邦新手 4 級 ‧ 2011-04-19 08:30:25 檢舉

看來是政策路由上的問題,真的還是無法解決的話.若信任在下的再E-Mail給我,建一個ReadyOnly的管理權,也許我可以遠端協助看一下設定上有什麼問題.不過還是先找一下供應商,請他們協助為優先.

assaxc iT邦新手 5 級 ‧ 2011-04-19 13:04:27 檢舉

政策路由.... 那個我完全沒設定...因為那個地方我就看不太懂了...

robinlu iT邦新手 4 級 ‧ 2011-04-19 23:01:05 檢舉


政策路由如附件,先選取來源介面及設定來源的網段 0.0.0.0/0.0.0.0則為全部網段
目地網段要出Internet 使用預設的 0.0.0.0/0.0.0.0
再設定強制由那一個介面出去就可以了, 不用設定Gateway IP

assaxc iT邦新手 5 級 ‧ 2011-04-20 09:35:10 檢舉

感謝robinlu
不知道我這樣是對還是錯,如果沒有錯的話問題又會回到上面的問題就是優先權=0才出的去,所有線路優先權相同時只有.3段出的去...

robinlu iT邦新手 4 級 ‧ 2011-04-23 07:53:51 檢舉

上面的協定編號請都保持為0,Policy Route有設定好兩路都應出得去,
可以透過tracert來觀看.
若有問題請E-mail: robin122@pchome.com.tw連繫,
我們這棟違章建築蓋的有點高,就此打住.

4
jackslfs
iT邦新手 4 級 ‧ 2011-04-18 09:07:39

開透通模式還是要設定policy
lan-->wan all 這樣才出的去

6
erinfo
iT邦新手 4 級 ‧ 2011-04-18 18:08:56

1.頻寬管理器的LAN Port要接在F60B的WAN Port。F60B的LAN Port要接在L3 Switch。
2.假設頻寬管理器IP:192.168.1.254。F60B IP:192.168.1.253
3.F60B管理介面:系統管理>>設定>>操作模式>>設成"透通模式"。
4.Client端的Gateway IP要成:192.168.1.254。
這樣應該可以上網,若不行的話,F60B的 路由設定>>靜態路由>>新增路由>>網路匣:192.168.1.254

試試看吧。
我們也有很棒的頻寬管理器,需要可以MSN給我:ken5200@hotmail.com

看更多先前的回應...收起先前的回應...

應該不需要設static route,可能要檢視一下firewall policy的lan to wan設定

tn11428 iT邦新手 4 級 ‧ 2011-04-19 18:39:57 檢舉

感謝erinfo大大 今天把它重新設定
頻寬管理器IP:192.168.100.1
F60B IP:192.168.1.253
SMC IP:192.168.1.254
通透模式已設定
設定完後到路由表 可以看到default route往192.168.100.1
目前client可以上網 但ping不到192.168.1.253
而且從防火牆也ping不到192.168.100.1與192.168.1.254

luckymoon iT邦新手 5 級 ‧ 2011-04-22 10:34:22 檢舉
  1. Fortigate 60B上要設定Plicy LAN to WAN(NAT)
  2. Default route往電信提供固網IP GW
  3. Client GW為192.168.1.253
  4. FG-60G到QoS中間這段為通透
  5. QoS中WAN PORT 給予一個固定IP
  6. FG-60G WAN PORT 給予一個固定IP
luckymoon iT邦新手 5 級 ‧ 2011-04-22 10:57:25 檢舉
  1. QoS接到FG-60的Port設定透通

我要發表回答

立即登入回答