各位先進午安:
小弟公司有兩路中華電信的VDSL,接入一台FortiGate 80c的防火牆:
WAN端的設定如下:
WAN-1:
8個IP(6個可用,假設IP為59.124.1.106到59.124.1.111)
防火牆接入的IP設為59.124.1.111
www指向106,ebook指向107,FTP指向108...
所有外部連線連入後,「虛擬指向」(不知道正確的專用名詞為何,煩請賜告)一切正常
連www的、連eBook的及連FTP的,都能正常工作(我的意思是:雖然防火牆WAN-1埠實體接線指定IP是111;但其他幾個IP的外部連入需求它也會處理)。
WAN-2: 原為5個IP(3個可用,假設IP為61.24.1.160到61.24.1.162)
防火牆接入的IP設為61.24.1.162
mail指向160,SSH指向161,exchange指向162...
原本如同WAN-1,所有外部連線連入後,「虛擬指向」也是正常
連mail的、連SSH的及連exchange的,都能正常工作(防火牆WAN-2埠實體接線指定IP是162;但其他幾個IP的外部連入需求它也會處理)。
問題來了,我們升級了WAN-2後,中華電信另外給了3個IP(241到243),悲劇發生了,WAN-2除了防火牆實接的162外,都不再被處理了!不知道問題出在哪裡...(變成只有真的有接到小烏龜的,才被處理)
找中華電信來看了三次,都無法解決,不知道該如何處理,請大家幫忙,謝謝!
P.S. 進一步測試的結果是:如果在同一個中華電信的子網域下,是可以正常工作的;但只要是該子網域外的,就不被處理...
舉例:故意裝一台筆電在小烏龜後面,設IP為160或241、242、243(和防火牆在同網段),用SSH程式連到161這個IP,它可以連入到公司內部負責SSH的VM,但同一部筆電,拿回家連上網路(IP就和公司不同網段)SSH連線就不被處理,感覺上,好像中華的設備在「上一階」就擋掉要進來的需求...
請各位高手幫幫忙,先謝謝大家了!祝大家設備都乖乖,網路都順暢!
若是我的話,會想辦法搞一台對照用的UTM。
(用LINUX裝一台也OK,網路搜尋一下就有教學文可照著做。)
然後針對WAN-2,把你原本的防火牆換下來,使用對照用的UTM去配置同樣的虛擬主機。
再確認一下是否問題出在中華電信?還是你原來的UTM配置有問題?
苦主發文中提到的「虛擬指向」,應該就是類似NAT的作用。
但UTM可以代管ISP派給你的IP區域,功能比NAT更強大。
基本上,企業使用了UTM來管理網路環璄後,
應該是把伺服器之類的主機,以內部私用IP的型式去設置好,
然後用苦主所提到的「虛擬指向」功能去配置伺服器對外的服務。
不知苦主有沒有遵照這個原則呢?或著你要使用DMZ的方式?
苦主的問題敍述,若能搭示意圖,標上IP、PORT等數值,會讓人更好理解哦~
回應牛哥大師:
我補上拓撲圖了,請看上面一點的回應,謝謝...(避免重覆太多次)
我的防火牆沒有任何變動,所以應該不是設定的問題
(是中華電信升級完,該功能就不行了,姑且稱之為「代管WAN IP功能」吧)
P.S. 剛剛補上的圖,有大概標示了比較詳細的資料了,謝謝!
補上最完整的圖,同一部防火牆,左右區塊本來都正常,升速並多加 3 個IP後,右邊就變成現在的怪狀況了!
感覺上,右邊在同一個Router下,要求可以正常被處理(不過,我沒有配發外同網段的IP可測...);但只要出了Router就不行了...怪哉!
看了這張圖,個人覺得WAN2的防火牆設定應該沒問題。 不然61.24.1.243應該是不會通。中華電信機房設定問題(Ayu大提到的IP轉送錯誤問題)...
要測很簡單,防火牆WAN2斷線,找台會回應ICMP的設備電腦或無線AP都行,IP設定為外網無法用的61.24.1.160,用外網TRACERT回來,要我會用手機分享WIFI用筆電測試。若是轉送到其他地方去,就拍照印出來叫中華電信處理....
同感!
答案呼之欲出~
回應 CalvinKuo 大師:
防火牆 WAN2 為何要斷線呢?可以解答一下嗎?謝謝!
好的...各位觀眾...謎底揭曉!
果然是中華電信的設定有誤,我最近密集打電話去中華的機房(2344-2307),換了三位工程師陪我測試,雖然還是沒能當下解決問題;但至少有一點結論!
最後結論是由我打電話給「企業客服經理」,請企客這邊由內部提出申請,讓我帶著我的防火牆去「機房」的會議室"實測"給他們看,釐清問題到底是他們的設定還是我這邊的設定有問題!
企客後來回覆我,幫我找另一組人試試,沒想到隔天就有位先生打電話給我,承認他們的設定"似乎"不妥,已經修改相關設定,請我再測試看看...結果-----「它就好了」!
依你的敍述,繪製網路拓樸如下:
59.124.1.111(FortiGate 80c)功能如同路由、閘道
這樣大家比較瞭解問題所在,免得一群人胡亂猜。
問題不在中華電信,你只是先前幸運"投機"成功。
請檢查 FortiGate 80c 的 gateway 相關設定。
一般都是像下圖的左下區域或右上區域的架構,少數特殊個案採不同連接方式。
我不是啥大師,只是之前回答問題多了吧...
下面這個是我們家電話公司廠商遠端連線進來用的虛擬IP
會發現虛擬IP會占用IP問題,那是因為我每三年換一次資安艦隊合約拿新的防火牆。
舊防火牆改IP作為WIFI上網的Gateway,在重新設定規則時,把虛擬IP相關防火牆規則刪除,虛擬IP還是會被占用該IP,造成使用該IP的設備衝突無法聯網,直到虛擬IP被刪除。
若是IP衝突,可以試著在小烏龜那邊直接連台電腦用外網IP(使用無法對應的IP 160/161),開久一點看看會不會有IP衝突(印象中半小時就會出現),另外用ARP指令查詢MAC與IP對應是否正常,還不行就抓封包看看有無異常。
https://www.ithome.com.tw/node/54461 ARP掛馬問題 通常發生在區網
http://www.netadmin.com.tw/article_content.aspx?sn=0808050013 封包分析