問題1.
200B上設定有兩個WAN
各WAN各有一組虛擬IP
上網部分有指定政策路由0.0.0.0送往WAN1
但卻沒辦法用內部電腦連到虛擬IP的外部IP
若取消政策路由就可以QQ
問題2.
200B上的port13設定為LAN1 192.168.1.1(192.168.1.0)
200B的Switch設定為LAN2 192.168.2.1(192.168.2.0)
但是LAN1可以ping到192.168.2.1卻ping不到LAN2的電腦
反之亦同也是無法PING或連線
防火牆這兩個PORT已經互開ALL了
請各位先進幫忙解答QQ
已邀請的邦友 {{ invite_list.length }}/5
版大的問題一在於政策路由
一旦設定政策路由指定0.0.0.0往Wan1
其他所有相關方向流量都必須用政策路由指定
所以需要仔細評估政策路由的使用
雙WAN建議使用ECMP或WLLB會比較好管理
問題二的現象,照理說應該兩段直接可通
可能是有設了相關的路由影響到,請在檢核一次
版大設備如簽了保固,不知有無約定技術諮詢或到場服務
請跟銷售的SI互動好好合作
如果當初雙方未簽訂明確的服務條款
建議付費解決相關問題
畢竟SI的服務應是有價的
大大你好
這臺機器是過保無合約的,因為跟朋友開了社群伺服器給大家玩,前陣子被ddos所以弄了一台來擋
所以沒有si可以問QQ
大大有建議的設定嗎?因為我設定port to switch還是不通,防火牆規則也設定了port to switch,反向也有
謝謝你
還有一點很奇怪
取消政策路由,內部pc的line圖片無法正常收放,然後很多網站會連不到,例如01的網站
在Fortigate的路由設定中
policy route 優先於 direct access 優先於 static route
其中ip mapping與port to switch都是屬於direct access
所以一旦設了policy route,就必須把每個session流向都要好好指定一下
同時還要顧慮往回的路由指定
以上說明如有不正確的,還請其他高手指正
因此,除非必要,盡量少用"政策路由"
以版大的現況建議改採ECMP或WLLB
注意在政策部份兩條WAN都要設政策
大大你好
WLLB設定下去,靜態路由那邊還要再設定一次路由嗎?
還是僅需WLLB上設定路由即可?
之前設定介面WAN需要綁定IP
這邊是否也要呢?
謝謝您
報告版大,
設WLLB之前,要把所有靜態路由防火牆政策要刪掉
為避免小弟文字描述不清楚,且過於冗長
煩請參考下述影片,當會對設定有所助益
https://www.youtube.com/watch?v=HRajFKAdflU
大大你好
非常感謝你的幫忙
可以上網了
但是現在有個問題 虛擬IP變成對外沒有服務了= =
我防火牆是設定附載平衡→LAN→虛擬主機
之前設定WAN可以,但改附載平衡,他只能選附載平衡 就不行了
大大抱歉,我的失誤 應該都OK了
XD 謝謝你
那個影片很有用
遇過類似問題一的狀況
機器是Fortigate 200D,多組實體IP對應多個網址與虛擬IP
內部用戶->使用 虛擬IP,可正常連線到服務
->使用 網址,無法連接
->使用 實體IP,無法連接
外部用戶->使用 網址,可正常連線到服務
->使用 實體IP,可正常連線到服務
與SI詢問後,說是FortiGate本身的問題!?(FW:v5.2.3),用CheckPoint時沒這狀況
目前用FortiGate指定DNS的方式處理,當內部用戶連接到網址時,將其轉回 虛擬IP
目前的狀況是:
內部用戶->使用 虛擬IP,可正常連線到服務
->使用 網址,可正常連線到服務
->使用 實體IP,無法連接
我目前也遇到第一個問題,我本身是使用80C,版本為5.0.12。
我是由4.0的版本升級上來的,確實在以前的版本,並無此問題(所有政策都未變動),在網路上找到很多文章,都是設定wan to lan的policy來解決,但在我這裡還未成功,要再測試看看!
第二個問題,我覺得你可以將目前路由狀態及政策貼上來看看,說不定會比較有方向。
iThome鐵人賽
看影片追技術