防火牆FortiGate 60B 固定IP如何設定上網??

防火牆

coldly74 2012-11-29 10:21:38 ‧ 27597 瀏覽

不好意思問一個這麼淺的問題，但是小弟設好久就是無法上網!!只好厚著臉皮上來請教各位大大!說實話小弟是第一次接觸硬體防火牆，很多東西都搞不懂還在測試研究，就卡在最基本的上網這一關了!!
小弟手上有一組固定IP，網路接法是從中華電信的的數據機接到防火牆的wan1，然後從internal接一條到pc，進入192.168.1.99管理介面，小弟試過用Wizard精靈，去設定固定IP!也試過手動設定，出現的問題都一樣!!都是windows無法與dns通訊。
wan1 設定 111.111.111.111/255.255.255.0
dns 168.95.1.1
dhcp伺服器介面 internal 主機模式 ip:192.168.1.50-192.168.1.200 遮罩
255.255.255.0 預設閘道192.168.1.99
靜態路由 ip/mask 0.0.0.0/0.0.0.0 網路閘道 111.111.111.211 wan1
防火牆策略全部放行
防火牆配給PC的ip為 192.168.1.50/255.255.255.0 閘道 192.168.1.99
dns168.95.1.1
不知是哪裡出了問題!!想請各位達人幫小弟看看，如資訊不足處，請告知小弟即刻補上!!
60B的韌體版本是 4.0
小弟很清楚這是一個很菜的問題，技術手冊小弟也看過，也有照著技術手冊設定，結果還是不行!!
如果有其他抓問題的方式也請大大一併告知，小弟再將結果回報上來!!
萬分感謝!!

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

7 個回答

vino1

iT邦大師 1 級 ‧ 2012-11-29 10:55:41

檢查靜態路由, 應該要有底下這筆
ip/mask:168.95.1.1/255.255.255.255 網路閘道 111.111.111.211 wan1

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

coldly74 iT邦新手 5 級 ‧ 2012-11-29 11:32:23 檢舉

感謝vino1大大詳細回答!!
小弟照著設定了!!小弟靜態路由底下就只有一組 ip/mask:0.0.0.0/0.0.0.0 閘道111.111.111.211 wan1
小弟將之改為 ip/mask:168.95.1.1/255.255.255.0 時按下採用後，結果他會自動跳成 168.95.1.0/255.255.255.0 不知是甚麼原因??

vino1 iT邦大師 1 級 ‧ 2012-11-29 11:36:57 檢舉

抱歉, 可能我表達的不是很清楚...
不是要你更改...是你原來那條要保留, 多加我說的那一條~

vino1 iT邦大師 1 級 ‧ 2012-11-29 13:26:13 檢舉

如果這樣還不行~
先把你client PC 端的 ipconfig /all 網卡那部份畫面貼上來
順便做一下 tracert 168.95.1.1 順便也抓圖貼上來~

coldly74 iT邦新手 5 級 ‧ 2012-11-29 13:55:20 檢舉

小弟有照著做了還是不行!!而且168.95.1.1會自動變成168.95.1.0

以上為您要小弟做的測試!!

vino1 iT邦大師 1 級 ‧ 2012-11-29 15:00:37 檢舉

看起來 NAT 好像沒開起來...
你防火牆策略: 內部往外部那條可否貼出來看一下內容?!

koenma iT邦新手 4 級 ‧ 2012-12-03 17:03:34 檢舉

有這一條就夠了吧 ip/mask:0.0.0.0/0.0.0.0 閘道111.111.111.211
為何要再加一條這個"ip/mask:168.95.1.1/255.255.255.255 網路閘道 111.111.111.211 wan1"這個位址已包含在上面那條啦 = =

登入發表回應

pnntest

iT邦新手 4 級 ‧ 2012-11-29 11:03:53

Wan1中的
自動從伺服器獲得預設網路閘IP網址.
強迫更改內部設定的 DNS.
這兩項要打勾

回應 2
分享
檢舉

coldly74 iT邦新手 5 級 ‧ 2012-11-29 11:33:56 檢舉

感謝pnntest大大可以請大大詳細說一下設定的位置嗎?是在系統管理>網路>介面裡的wan1嗎?
小弟找不到您說的設定抱歉喔!!再次感謝大大

sailsolitary iT邦研究生 2 級 ‧ 2012-11-29 14:45:05 檢舉

固定IP沒有這個選項 ~ 所以這個可以跳過 ~
pnntest 所說的是 PPPOE 那裡就要打勾囉!! 因為這個地方很容易就忘記了 ~

登入發表回應

jazozazo

iT邦高手 1 級 ‧ 2012-11-29 11:31:45

以上是內對外可以正常連線的基本條件
介面設定完畢ip組態之後
要記得到firewall的policy新增可以對外連線的設定
如果沒有做就不能連線

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

coldly74 iT邦新手 5 級 ‧ 2012-11-29 11:59:58 檢舉

感謝jazozazo大大的回答!!小弟把我設定的畫面PO上來，希望能有大大能解決，jazozazo大大您的設定我很仔細的看過，但我發現跟我的設定一樣!!我實在找不到原因!!希望您能幫小弟看看!!IP有些地方遮起來了!!那些小弟確定ip並沒有打錯!!感謝各位大大的熱心哦!!

coldly74 iT邦新手 5 級 ‧ 2012-11-29 12:01:28 檢舉

jazozazo iT邦高手 1 級 ‧ 2012-11-29 13:31:28 檢舉

你 wan 的ip 是 public ip 還是..........
因為你不可能申請到一整個c網段
255.255.255.0
整個就是很詭異
遮罩錯誤是不可能可以跟 ISP給的閘道可以溝通

coldly74 iT邦新手 5 級 ‧ 2012-11-29 13:42:04 檢舉

wan的ip是public ip沒錯!!是跟中華電信申請的固定IP，其實有6組，我是拿其中一個來用而已!!
所以大大的意思是說我錯的地方是在dhcp裡的255.255.255.0的部分嗎??
這個設定我是用防火牆的設定精靈設定出來的

jazozazo iT邦高手 1 級 ‧ 2012-11-29 13:48:09 檢舉

不是dhcp的 255.255.255.0
而是 WAN 1 的遮罩有問題

你才申請8個固定ip
遮罩應該要設定為 255.255.255.248才對
不應該是 255.255.255.0
遮罩的設定isp好像都不會註明
有些來施工的會說要怎設定
有些卻不會只是測試線路通就走了

CalvinKuo iT邦大師 7 級 ‧ 2012-11-29 14:49:22 檢舉

jazozazo 大大，固六固三的子網路遮罩是255.255.255.0沒錯，Gateway不在中華電信數據機...

登入發表回應

CalvinKuo

iT邦大師 7 級 ‧ 2012-11-29 14:37:24

防火牆 LAN to WAN規則要開NAT... 最好別 ALL to ALL...

回應 2
分享
檢舉

CalvinKuo iT邦大師 7 級 ‧ 2012-11-29 17:25:51 檢舉

防火牆規則用的，在防火牆物件選阿:

CalvinKuo iT邦大師 7 級 ‧ 2012-11-29 17:42:34 檢舉

不過... 沒設LAN也不是不能上，未來管理會比較方便，但是NAT是要一定要選的。
不能上，有想到你靜態路由的Gateway設錯... 中華電信固3固6的通常是254
別設到你的WAN IP喔

PPPoE的還要注意下面，請看蘇老的文章：
http://www.askasu.idv.tw/index.php/tag/fortinet/page/2/