iT邦幫忙

0

Fortigate NAT設定問題

各位好,
最近想要嘗試架個NAT的環境一直架不起來,但一直找不到原因還麻煩各位大大幫我看一下。

Fortigate 310B
對外的在port 3 xxx.xxx.55.201/255.255.255.255
對內的在port 2 192.168.37.254/255.255.255.0

default static route
0.0.0.0/0.0.0.0 port 3 xxx.xxx.55.254/255.255.255.0

Firewall policy
port 2 all -> port 3 all ACCEPT NAT選項打勾
port 3 all -> port 2 all ACCEPT NAT選項打勾

port 2 DHCP設定是
啟用打勾
IP range 192.168.37.1 - 192.168.37.255
Mask 255.255.255.0
Gateway: 192.168.37.254

PC的設定是
IP: 192.168.37.130/255.255.255.0
GW: 192.168.37.254

我現在是直接把PC接到port 2,可以ping的到port 3 的xxx.xxx.55.201,但就是ping不到default gateway xxx.xxx.55.254所以出不去

這問題我已經弄了快2個星期了還是不知道是什麼原因,麻煩大大幫幫忙~~

看更多先前的討論...收起先前的討論...
一尾 iT邦研究生 1 級 ‧ 2013-08-08 17:41:45 檢舉
這東西怎麼說也要好幾萬吧
沾醬可以買一台放家裡玩
看來是滿好過的

如果這是公司買的
router這東東可以放2星期還沒處理完
那就更神了
zyman2008 iT邦大師 8 級 ‧ 2013-08-08 18:19:49 檢舉
xxx.xxx.55.201/255.255.255.255

subnet mask "255.255.255.255" 是筆誤嗎 ?
alien9882 iT邦新手 5 級 ‧ 2013-08-08 20:56:44 檢舉
select大大是教育機關正籌備建置新的lab用的啦
alien9882 iT邦新手 5 級 ‧ 2013-08-08 21:13:29 檢舉
大大我有在看一次防火牆我是設成255.255.255.0,是我手殘打錯了...瞎
一尾 iT邦研究生 1 級 ‧ 2013-08-09 09:17:41 檢舉
alien9882提到:
教育機關

台灣資訊界對教育單位真的很優
M$的產品都比其他公家機關便宜
像外面或一般公家機關大約需要13K一套的OFFICE
教育界只要3K不到
6
何必問
iT邦好手 1 級 ‧ 2013-08-08 23:59:47

alien9882提到:
Fortigate 310B
對外的在port 3 xxx.xxx.55.201/255.255.255.255
對內的在port 2 192.168.37.254/255.255.255.0

default static route
0.0.0.0/0.0.0.0 port ...(恕刪)

如果你是指出口 interface 3 ip 設定是 xxx.xxx.55.201
而外部ISP給的閘道ip 又是 xxx.xxx.55.254 可能是遮罩錯誤導致路由不到
interface那裡也要開ping

如果你意思是指內部主機要對應外部 ip xxx.xxx.55.201
那你應該在 firewall object --> virtual ip ---> virtual ip
設定好之後再設一筆policy 外部3 all ->內部2 server
指向剛剛設定的 virtual ip 即可

一般使用者存取方式外部到內部不需要nat 內部到外部則要設定nat
主機則是以上述virtual ip方式設定(文中nat並未說清楚主機還是使用者)
interface的遮罩 要跟 router閘道的遮罩必須相同
ping 不到的問題 要在interface上開啟 ping 服務

alien9882 iT邦新手 5 級 ‧ 2013-08-09 22:19:31 檢舉

後來發現外部的IP有綁MAC所以接錯port了....
改成申請對應的Port之後就可以通了!
正確的port的interface IP 一樣是設成xxx.xxx.55.201

但我現在又遇到一個問題,大大提到要設定virtual IP的部分,我都沒有設就能通,但現在我希望這台PC出去外面能用xxx.xxx.55.130的IP,所以我在virtual IP加上以下設定:

external port : 連外的port
external IP: xxx.xxx.55.130
mapped IP: 192.168.37.130

加上這條就不通了,不知道是什麼原因?

4
莫爺
iT邦新手 2 級 ‧ 2013-08-09 09:08:04

DHCP設定是
啟用打勾
IP range 192.168.37.1 - 192.168.37.255

dhcp這樣設法,看了頭很痛。

alien9882 iT邦新手 5 級 ‧ 2013-08-09 09:35:02 檢舉

大大不好意思不知道我哪邊有弄錯煩請指正一下,感謝你

tomchun iT邦研究生 5 級 ‧ 2013-08-09 10:27:39 檢舉

範圍太廣囉!

莫爺 iT邦新手 2 級 ‧ 2013-08-09 11:03:00 檢舉

.1 很容易被其它網路設備衝到。
.254 .255 基本上也無法使用。

建議dhcp範圍從50~200就好。
保留一些ip空間備用。

6
sailsolitary
iT邦研究生 2 級 ‧ 2013-08-09 10:13:44

疑點一

Fortigate 310B
對外的在port 3 xxx.xxx.55.201/255.255.255.255

這麼樓主說是手誤…所以就沒有什麼問題了...

疑點二

default static route
0.0.0.0/0.0.0.0 port 3 xxx.xxx.55.254/255.255.255.0

這邊可以先試著用 Fortigate 內建的 cli 去ping看看 xxx.xxx.55.254
如果可以,那就應該是沒有什麼問題…
不然也可以直接把 defaule static route 改成 0.0.0.0/0.0.0.0 port3 0.0.0.0 試試…

疑點三

Firewall policy
port 3 all -> port 2 all ACCEPT NAT選項打勾

正常行為下 外對內 這邊的 nat 是不用勾的...除非有什麼特別的設定, 例如兩個不同的網段要互通…那才有需要開啟!!

疑點四

port 2 DHCP設定是
啟用打勾
IP range 192.168.37.1 - 192.168.37.255
Mask 255.255.255.0
Gateway: 192.168.37.254

Port2 的位置不就是 254 了...怎麼 DHCP 的範圍可以開到255...
限縮一下會比較好一點吧!!! Client 沒那麼多就開到100就好了~
我的建議是 192.168.37.101 ~ 192.168.37.200 會比較妥一點!!!

alien9882 iT邦新手 5 級 ‧ 2013-08-09 22:23:21 檢舉

感謝大大提供在fortigat ping xxx.xxx.55.254這個方法讓我找到不通的原因
外對內的policy我也已經把NAT取消勾選然後DHCP的range也如同建議縮小範圍 100 ~ 200

default static route 維持 xxx.xxx.55.254不變
現在就是有內部IP要對應成外部IP的問題,不知大大有何看法?

sailsolitary iT邦研究生 2 級 ‧ 2013-08-09 23:32:12 檢舉

如果內部有主機要讓外部連線的話,通常都是在 VIP 那裡設定…
設定完後,再到 Policy 那把規則加上就可以了…NAT的部份也不用勾選…

我要發表回答

立即登入回答