Fortigate 100D 內部特定IP無法連外

fortigate 網路管理

vicentli 2016-09-05 15:12:03 ‧ 3296 瀏覽

分享至

我司有三條對外線路，所以我分別配置在WAN1、Wan2、DMZ

另外再把Port1設定為192.168.17.1/24 DHCP 192.168.17.2-10，

放置2-3台對外服務主機

Port2-16設定為Lan，192.168.16.1/24 DHCP 192.168.16.100-254

設定Lan可以連到Port1，Port1不能連到Lan

目前碰到一個狀況是，Port1上的192.168.17.2這個IP都無法連外出去，

但從內部Lan及外部可以連進來存取資源

我在同一張網卡上設置了192.168.17.3，就可以連出去

彷彿是192.168.17.2這個IP被鎖，試著更換網卡、及用其他電腦來使用此IP仍無法連外，

有人碰過嗎？謝謝

jimmyhiyawu iT邦新手 3 級 ‧ 2016-09-06 07:53:28 檢舉

您可以加一條lan→wan2全開的policy…
應該偶數的ip就能上網了…

如果全部都要用wan1上網的話，可以用政策路由。

vicentli iT邦研究生 4 級 ‧ 2016-09-06 12:34:59 檢舉

我192.168.16.0/24 to wan1、wan2、dmz(wan3) 都全開了(我設定lan any to all allow)，目前是port1 的192.168.17.0/24 to wan1、 wan2、dmz(實際是wan3)有all allow，但連不出去。不過192.168.17.3、192.168.17.4這2個IP都出的去。fortigate有自動阻擋IP功能嗎？怎麼檢查該是不是被封鎖（我沒有手動封鎖）

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

mytiny

iT邦超人 1 級 ‧ 2016-09-06 13:05:43

版大既然啟動了ECMP，就該對路由的規則有所了解
目前VIP mapping與port對port直連的優先權都高於ECMP
因此版大外對內及直接埠互通是正常的

建議版大不要設這種lan any to all allow規則
會讓判斷流量與政策增加困擾
如果版大不會用diag debug相關指令
還是費事點一條一條設政策
這樣才看得出流量到底有沒有經過

版大的狀況小弟認為還是出在ECMP及線路設定
如果2,3,4三個IP中，2出不去而3,4出的去
可見wan1是不通的，輪第二三條線才通
請查驗ECMP使用方式及權值設定
同時也別忘了查驗一下Wan1是否還正常
另外版大如果什麼都沒設
fortigate是沒有自動阻擋IP這種功能的(小弟沒聽說哪一家有)
還有七月已經過了，別太疑神疑鬼

回應 3
分享
檢舉

vicentli iT邦研究生 4 級 ‧ 2016-09-06 13:15:14 檢舉

ECMP設定權重負載平衡 45 Wan1、45 Wan2、10 DMZ(Wan3)，不知這樣是否有設錯？Wan1(web server2、mail server)、Wan2(視訊會議、DVR Web界面、異地備援傳輸線路)、Wan3(web server、mail server)這三條應都有通，因各自有對外服務~其中一條不通我會收到外部寄來的故障通知信件。