fotigate 70D 內網無法連接固定IP

fortinet fortigate mailserver nat

阿海 2016-08-17 21:56:06 ‧ 6880 瀏覽

分享至

內網想要連HINET的固定IP: 211.75.2XX.XXX
NAT有開，WAN>>LAN也有開

外網可以連 211.75.2XX.XXX

outlook都必須把mail doman改成內網ip
web版 mail 現在也無法寄信，只能收信
我猜可能是內網不能讀到固定IP
所以web mail不能寄信，看可以收信

不知道是哪邊有問題
請幫忙看一下設定
謝謝

阿海 iT邦新手 2 級 ‧ 2016-08-18 09:25:31 檢舉

在這講的固定ip其實就是smtp位置，
mail.xxxxx.com.tw，非公司線路都可連線，唯獨公司內部不能連線，mx紀錄跟mailserver設定那些都沒有問題，問題應該出現在防火牆，使用outlook可以收發信，使用webmail只能收信不能發信，所以我的問題是沒內網如何聯線固定ip

窮嘶發發發 iT邦高手 1 級 ‧ 2016-08-18 12:04:53 檢舉

請問一下你們的固定 IP 有幾個，假若只有一個，那麼你們應該用的是 DMZ 服務端口配置，或是簡稱端口對應
假若有 2個以上才能開 NAT，而且開 NAT，內部一定無法PING 到固定 IP 的，因為路由協定不允許
這個很在這邊解釋，有興趣去K一下 TCPIP 關於路由協定還有 NAT 章結的說明
除非，你的路由器有 NAT 透通功能，否則，預設是內PING不到外
至於 DNS ，你們要架兩台，一台對外服務，一台對內服務，對外的紀錄不能有虛擬IP，
對內的紀錄最好不要有實體IP，因為某些IP可能會因為路由的設定而發生LOOP查詢不到

frank98xp iT邦新手 4 級 ‧ 2016-09-17 12:23:11 檢舉

幫整理一下

### 網路環境：
內網 **10.10.100.x** 經由70D出去的實體ip為 **211.75.123.123**

內部有數台伺服器，例：**10.10.100.10:80 對應 211.75.123.123:80**

### 狀況

1.其他人從外部網路可以正常連線211.75.123.123:80

2.內網**無法連線211.75.123.123:80**

3.內網可以連線10.10.100.10:80

原po的問題點在**狀況2**

### 原因

實際上從內網連線211.75.123.123:80，70D會發現來源和目的ip其實都他自己本身的內網ip

此時又不符合Wan(ANY) -> internal(SERVER) 的policy，所以被deny

### 解決方式

原po最後加上了internal (LAN)- internal(SERVER) 的policy

才讓這條路通了(實際上繞了一圈)

(雖然這種policy讓人覺得有點多此一舉，不過家用型的分享器很多都有實作這種policy)

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

做工仔人!

iT邦大師 1 級 ‧ 2016-08-18 09:18:10

有點看不懂問題.

內網要連 mail server 為什麼要去指定外部IP 或內部IP ?

正常的做法應該是從DNS 下手.
DNS SERVER 一般都會有內部DNS SERVER 及外部DNS SERVER 二台.(外部DNS SERVER 可以託管或是直接在 twnic 的設定上直接設定解析)
mail 的解析是走 mx 設定的.
電腦的dns 指對, outlook 的內收/外送的設定設對就好了.

一般我都是這樣設定.

不能寄信(信寄不出去):會有二個原因:

outlook 中的電子郵件設定->其他設定->寄外伺服器的驗證沒打勾.
mail server 出不了internet 或找不到對方mail server 或對方mail server 回報錯誤.

回應 9
分享
檢舉

看更多先前的回應...收起先前的回應...

阿海 iT邦新手 2 級 ‧ 2016-08-18 09:25:53 檢舉

做工仔人! iT邦大師 1 級 ‧ 2016-08-18 09:35:59 檢舉

您的問題:

是不是: 如何從防火牆的外部 IP 繞走同一個subnet mask 下用虛擬 IP 設定的外部.

例防火牆的外部IP 是 168.95.1.1 /255.255.255.0 GW 168.95.1.254
虛擬IP 是168.95.1.2/255.255.255.0 對照內部IP 為:192.168.1.2/255.255.255.0 GW 192.168.1.254

您希望是在內部的電腦接指向: 168.95.1.2 來收發mail ?

阿海 iT邦新手 2 級 ‧ 2016-08-18 11:20:33 檢舉

不是搭，先撇開mail好了，
我在防火牆內架設了web服務器內網IP:10.10.100.10，
我透過物件>>虛擬IP 將10.10.100.10這個IP對外成211.75.XXX.XXX(固定IP)，
再透過hinet domain將211.75.XXX.XXX轉成www.xxxxxx.com.tw
，再到政策設定，internal(all) - wan1(all) port開all，
wan1(all) - internal (10.10.100.10) port開http mail ，以上是防火牆的設定。
然後我再內網10.10.100.XXX網段打開10.10.100.10是OK的，但打開www.xxxxxx.com.tw 是不通的，
但在其他線路上www.xxxxxx.com.tw 是可以用的，
所以我的問題是: 內網無法連接固定IP

可解嗎?感謝

做工仔人! iT邦大師 1 級 ‧ 2016-08-18 12:31:07 檢舉

正解: 內部DNS 設定: www.xxxxxx.com.tw ->10.10.100.10
USER 的DNS 就指內部DNS 就好了.

如果內部DNS 就是一定要指211.75.XXX.XXX 或是沒有設定.
那就要看防火牆自己的"能力" .應該是有問題.(除非不是用NAT或試試)

以 routing 的角度來看:

內部要連這台SERVER , 解出來的IP 為: 211.75.XXX.XXX

封包到了防火牆先NAT 為防火牆的外IP後往GW 送.

GW 看到是要去同網段IP ,就再將封包送回防火牆(因為虛擬IP是設在防火牆上).

防火牆看到這個封包時, 會如何處理? 這就看防火牆的OS怎麼處理這段了!

做工仔人! iT邦大師 1 級 ‧ 2016-08-18 13:29:34 檢舉

再補充一下:
如果防火牆會說話. 他一定會說:這種跟我沒關係的鳥事, 可不可以不要來找我處理 ? (跟我們的MIS人生是不是有像?)

阿海 iT邦新手 2 級 ‧ 2016-08-18 14:18:16 檢舉

DNS SERVER和USER都是指向hinet168.95.1.1，公司沒有DNS內部主機，是由防火牆發送168.95.1.1給USER跟SERVER

阿海 iT邦新手 2 級 ‧ 2016-08-19 13:16:49 檢舉

搞定了，在物件裡加上 internal (LAN)- internal(SERVER) 就好了

窮嘶發發發 iT邦高手 1 級 ‧ 2016-08-19 13:31:04 檢舉

做工仔人! iT邦大師 1 級 ‧ 2016-08-19 13:41:29 檢舉

登入發表回應

thomaskao67

iT邦新手 5 級 ‧ 2016-08-18 11:22:49

跟大頭大大有同樣的想法
覺得是smtp 設定的問題

回應 1
分享
檢舉

阿海 iT邦新手 2 級 ‧ 2016-08-18 11:25:25 檢舉

應該不是，smtp都沒改定，唯獨防火牆還原重新設定(因TOKEN不見，無法解鎖，還原)，所以mailserver應該是沒有問題的，而且外部線路使用手機或outlook也能正常收發信件

登入發表回應

窮嘶發發發

iT邦高手 1 級 ‧ 2016-08-18 13:39:05

假定環境如下

固 I 是 211.75.123.123
假定域名 abc.com ( 跟 HINET 租的 ) DNS 指向 HINET 代管 168.95.192.11 跟 168.95.1.11
有使用 HINE DNS 代管服務
fotigate 本身不開 NAT 透通 ( 說明書說有，但固1I 用不到 )

內部預設的服務

www IP：10.10.100.10 端口 80
smtp IP：10.10.100.235 端口 25
misAP IP：10.10.100.230 端口 ? ( 沒給，後面不作設定 )
fotigate IP：10.10.100.254 (閘道器、防火牆)

DNS Server 設定

10.10.100.1 對內
10.10.100.6 對外
內部用戶端指向 10.10.100.1
兩台 DNS 不作複寫，要設定轉寄給 8.8.8.8
域名上層 DNS 指向 211.75.123.123

防火牆端口對應表

DNS 對應 211.75.123.123 UDP 53 內部 10.10.100.6 UDP 53
WEB 211.75.123.123 TCP 80對應 TCP 80 內部 10.10.100.10 TCP 80
SMTP 211.75.123.123 TCP 25對應 TCP 80 內部 10.10.100.235 TCP 25

內部 DNS 紀錄

A www 10.10.100.10
A mail 10.10.100.235
MX @ mail.abc.com 10

外部 DNS 紀錄

A mail 211.75.123.123
A www 211.75.123.123
MX @ mail.abc.com 10

如果是這樣的環境，這麼設定所有的服務都能夠運作的

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

窮嘶發發發 iT邦高手 1 級 ‧ 2016-08-18 13:42:41 檢舉

上面關於 DNS 的部分作以下修正，我忘記你們 DNS 已經是 HINET 代管

DNS Server 設定
把 10.10.100.6 拿掉，因為對外已經有 HINET 代管了

防火牆端口對應表

WEB 211.75.123.123 TCP 80對應 TCP 80 內部 10.10.100.10 TCP 80
SMTP 211.75.123.123 TCP 25對應 TCP 80 內部 10.10.100.235 TCP 25

外部 DNS 紀錄是要去 HINET 代管那設定的

窮嘶發發發 iT邦高手 1 級 ‧ 2016-08-18 13:43:36 檢舉

如果真的不行，找顧問來吧，一小時內可以搞定，費用 2~3000，或是了解的工程師，請他一頓飯就行了

阿海 iT邦新手 2 級 ‧ 2016-08-18 14:26:38 檢舉

USER和SERVER的DNS都是指向HINET 168.95.1.1，是由防火牆指定，公司沒有DNS主機，這樣的設定我去年設定的時候是OK的，這一次不知道漏了哪一個環節了...導致內網無法連對外的固定IP

窮嘶發發發 iT邦高手 1 級 ‧ 2016-08-19 10:44:05 檢舉

那就是防火牆要檢查 NAT 透通是不是打開著
但我建議你們要架內部的DNS，DNS 內外區隔，這是基本的IT管理
還有難道沒有使用 AD 服務嗎，那你們的檔案權限如何管理呢
我的設定方式，是比較正規的，管理的公司，也沒人跟我反映有問題
以上是給你建議，如果真的不行，防火牆 RESET 重設吧，這也是方法