各位好,
最近想要嘗試架個NAT的環境一直架不起來,但一直找不到原因還麻煩各位大大幫我看一下。
Fortigate 310B
對外的在port 3 xxx.xxx.55.201/255.255.255.255
對內的在port 2 192.168.37.254/255.255.255.0
default static route
0.0.0.0/0.0.0.0 port 3 xxx.xxx.55.254/255.255.255.0
Firewall policy
port 2 all -> port 3 all ACCEPT NAT選項打勾
port 3 all -> port 2 all ACCEPT NAT選項打勾
port 2 DHCP設定是
啟用打勾
IP range 192.168.37.1 - 192.168.37.255
Mask 255.255.255.0
Gateway: 192.168.37.254
PC的設定是
IP: 192.168.37.130/255.255.255.0
GW: 192.168.37.254
我現在是直接把PC接到port 2,可以ping的到port 3 的xxx.xxx.55.201,但就是ping不到default gateway xxx.xxx.55.254所以出不去
這問題我已經弄了快2個星期了還是不知道是什麼原因,麻煩大大幫幫忙~~
alien9882提到:
Fortigate 310B
對外的在port 3 xxx.xxx.55.201/255.255.255.255
對內的在port 2 192.168.37.254/255.255.255.0default static route
0.0.0.0/0.0.0.0 port ...(恕刪)
如果你是指出口 interface 3 ip 設定是 xxx.xxx.55.201
而外部ISP給的閘道ip 又是 xxx.xxx.55.254 可能是遮罩錯誤導致路由不到
interface那裡也要開ping
如果你意思是指內部主機要對應外部 ip xxx.xxx.55.201
那你應該在 firewall object --> virtual ip ---> virtual ip
設定好之後再設一筆policy 外部3 all ->內部2 server
指向剛剛設定的 virtual ip 即可
一般使用者存取方式外部到內部不需要nat 內部到外部則要設定nat
主機則是以上述virtual ip方式設定(文中nat並未說清楚主機還是使用者)
interface的遮罩 要跟 router閘道的遮罩必須相同
ping 不到的問題 要在interface上開啟 ping 服務
DHCP設定是
啟用打勾
IP range 192.168.37.1 - 192.168.37.255
dhcp這樣設法,看了頭很痛。
疑點一
Fortigate 310B
對外的在port 3 xxx.xxx.55.201/255.255.255.255
這麼樓主說是手誤…所以就沒有什麼問題了...
疑點二
default static route
0.0.0.0/0.0.0.0 port 3 xxx.xxx.55.254/255.255.255.0
這邊可以先試著用 Fortigate 內建的 cli 去ping看看 xxx.xxx.55.254
如果可以,那就應該是沒有什麼問題…
不然也可以直接把 defaule static route 改成 0.0.0.0/0.0.0.0 port3 0.0.0.0 試試…
疑點三
Firewall policy
port 3 all -> port 2 all ACCEPT NAT選項打勾
正常行為下 外對內 這邊的 nat 是不用勾的...除非有什麼特別的設定, 例如兩個不同的網段要互通…那才有需要開啟!!
疑點四
port 2 DHCP設定是
啟用打勾
IP range 192.168.37.1 - 192.168.37.255
Mask 255.255.255.0
Gateway: 192.168.37.254
Port2 的位置不就是 254 了...怎麼 DHCP 的範圍可以開到255...
限縮一下會比較好一點吧!!! Client 沒那麼多就開到100就好了~
我的建議是 192.168.37.101 ~ 192.168.37.200 會比較妥一點!!!