VDSL升級後IP區段虛擬指向功能無法正常使用

中華電信vdsl 虛擬ip指向 fortigate

terryliu 2017-12-11 14:04:05 ‧ 7172 瀏覽

分享至

各位先進午安：
小弟公司有兩路中華電信的VDSL，接入一台FortiGate 80c的防火牆：
WAN端的設定如下：
WAN-1:
8個IP(6個可用，假設IP為59.124.1.106到59.124.1.111)
防火牆接入的IP設為59.124.1.111
www指向106，ebook指向107，FTP指向108...
所有外部連線連入後，「虛擬指向」(不知道正確的專用名詞為何，煩請賜告)一切正常
連www的、連eBook的及連FTP的，都能正常工作(我的意思是：雖然防火牆WAN-1埠實體接線指定IP是111；但其他幾個IP的外部連入需求它也會處理)。
WAN-2: 原為5個IP(3個可用，假設IP為61.24.1.160到61.24.1.162)
防火牆接入的IP設為61.24.1.162
mail指向160，SSH指向161，exchange指向162...
原本如同WAN-1，所有外部連線連入後，「虛擬指向」也是正常
連mail的、連SSH的及連exchange的，都能正常工作(防火牆WAN-2埠實體接線指定IP是162；但其他幾個IP的外部連入需求它也會處理)。

問題來了，我們升級了WAN-2後，中華電信另外給了3個IP(241到243)，悲劇發生了，WAN-2除了防火牆實接的162外，都不再被處理了！不知道問題出在哪裡...(變成只有真的有接到小烏龜的，才被處理)

找中華電信來看了三次，都無法解決，不知道該如何處理，請大家幫忙，謝謝！

P.S. 進一步測試的結果是：如果在同一個中華電信的子網域下，是可以正常工作的；但只要是該子網域外的，就不被處理...
舉例：故意裝一台筆電在小烏龜後面，設IP為160或241、242、243(和防火牆在同網段)，用SSH程式連到161這個IP，它可以連入到公司內部負責SSH的VM，但同一部筆電，拿回家連上網路(IP就和公司不同網段)SSH連線就不被處理，感覺上，好像中華的設備在「上一階」就擋掉要進來的需求...

請各位高手幫幫忙，先謝謝大家了！祝大家設備都乖乖，網路都順暢！

看更多先前的討論...收起先前的討論...

Blue Jacky iT邦大師 1 級 ‧ 2017-12-11 14:54:02 檢舉

1.「虛擬指向」 <- 虛擬伺服器
2.架構、子網路遮罩(submask)設定有問題

CalvinKuo iT邦大師 7 級 ‧ 2017-12-11 18:28:26 檢舉

WAN該不會改成多機型固六，印象中是Subnet mask: 255.255.255.0，Gateway不在小烏龜在中華電信機房依你的例子是: 61.24.1.254
一般是連續六個IP，怎會給241-243，161-163...
建議版大排查方法，建多個虛擬伺服器對應到內部某IP，就只用ICMP/TELNET這種好測的...真的不行就叫中華電信重給一組連續6個的IP。

terryliu iT邦新手 4 級 ‧ 2017-12-12 14:01:30 檢舉

回應 Blue Jacky 大師：
謝謝您的回應，不知道有沒有更「精確」的專有名詞？
因為「虛擬伺服器」大家可能比較會想到的是「同一IP有好幾台伺服器」
我的狀況比較是「多個沒有接實體設備的IP由同一個防火牆來處理各種服務需求」
另外，防火牆設定沒動，原本可以的功能在升級完就無法使用了！所以，我一直覺得是中華的設定(或設備)造成問題...
再次謝謝您百忙之中的回應，也懇請繼續賜教，謝謝！

CalvinKuo iT邦大師 7 級 ‧ 2017-12-12 14:51:27 檢舉

版大，問一下原來是固3(5用3)改固6，小烏龜的模式(路由器模式/通透模式)應該不一樣，有更換或重新設定嗎? 我會建議更換IP與現場外包工程師(打給客服好好客訴一下，敝公司是有個業務經理可以直接聯絡)
虛擬伺服器在FG-80C/92D介面叫虛擬IP。我有2台FG-80C，1台FG-92D，都是資安艦隊2010/2013/2016的... 只要設了虛擬IP，不管有沒對應使用防火牆規則，該IP無法使用會有衝突...

ayu iT邦好手 2 級 ‧ 2017-12-13 02:41:57 檢舉

固六不一定連續喔! 尤其是稍早期的, 完全有可能是固3+固3

會不會是, HINET機房(數據分公司)在處理封包網哪邊送時, 設定出錯誤了呢?
你從外網測試 traceroute 到 160 161 162 241 242 243 各別的結果, 是否不同, 或是到某節點就過不了?

個人已實際遇過類似情況3~4次了! 其中一次是無端把我的IP往別的節點送, 可能在異動別人的IP時順便把我的也改掉了.
還有, .162 那台防火牆, 請關機斷電十分鐘以上再試.

CalvinKuo iT邦大師 7 級 ‧ 2017-12-13 13:26:42 檢舉

我覺得 ayu 大提到的機房問題可能性最大。可是沒辦法解釋160-161會失效，但162本身正常問題... 除非中華電信有特別的防火牆規則判斷是否為實體設備，ICMP或?
若要測ayu大的 traceroute，要把ICMP打開或轉送到內網設備去。

terryliu iT邦新手 4 級 ‧ 2017-12-13 14:59:03 檢舉

回應 CalvinKuo 大師：
WAN-2是升級時順便改為多機型固六IP，Subnet Mask 的確是 255.255.255.0，Gateway 的確是 61.24.1.254 (P.S. 當然假設的) 也的確是在「中華電信機房」
不是連續六個IP的原因是固3 IP改固6 IP，中華會儘量給連續的IP，但如果已經派給別的用戶，就只好給不連續的。我們原先是 161-163，再加給了241-243。
您建議的排查方法，我也試了，結果是一樣的！
是有考慮請中華電信重給一組連續6個的IP...
謝謝您百忙之中的回應，也懇請繼續賜教，謝謝！

terryliu iT邦新手 4 級 ‧ 2017-12-13 15:08:02 檢舉

再回應 CalvinKuo 大師：
1. 是的，是由固3(5用3)改固6(8用6)
2. 小烏龜的模式(路由器模式/通透模式) 外包工程師是換一台
3. 我也在想，更換一組連續的六個IP，我已經斷斷續續客訴四次了，敝公司也有個業務經理可以直接聯絡，她很熱心轉給其他單位；但一直沒辦法解決！
4. 虛擬伺服器在FG-80C/92D介面叫虛擬IP => 這需要設定嗎？(但我不認為它是問題點，因為我沒改過，且我出問題的不是新增的三個)
5. 您提到的：「只要設了虛擬IP，不管有沒對應使用防火牆規則，該IP無法使用會有衝突...」可以詳細說明一下嗎？(拜託您)

terryliu iT邦新手 4 級 ‧ 2017-12-13 15:23:46 檢舉

回應 Ayu 大師：
固六不一定連續喔! 尤其是稍早期的, 完全有可能是固3+固3 ==>沒錯，因為原有的IP後面已經有人用了
會不會是HINET機房在處理封包網哪邊送時, 設定出錯誤了呢? ==>我覺得被 Drop 掉了...
你從外網測試 traceroute 到 160 161 162 241 242 243 各別的結果，是否不同, 或是到某節點就過不了? ==> 要測一下
個人已實際遇過類似情況3~4次了! 其中一次是無端把我的IP往別的節點送, 可能在異動別人的IP時順便把我的也改掉了 ==>您怎麼發現的？ TraceRT 嗎？.
還有, .162 那台防火牆, 請關機斷電十分鐘以上再試. ==> 這要半夜才能做了... XD
謝謝您百忙之中回應小弟，也懇請繼續賜教，謝謝！

terryliu iT邦新手 4 級 ‧ 2017-12-13 15:30:26 檢舉

再回應 CalvinKuo 大師：
1. 我也覺得 Ayu 大師提到的機房問題可能性最大。(+1)
2. 可是沒辦法解釋160-161會失效，但162本身正常問題... 除非中華電信有特別的防火牆規則判斷是否為實體設備，ICMP 或？ ==> 是！我嚴重懷疑他們新的設備會偵測「是否有接實體設備」，因為我若接了電腦、分享器，都可以正常使用，只有「虛擬IP」的功能失效！
若要測Ayu大的 traceroute，要把ICMP打開或轉送到內網設備去 ==> 這點我不熟，得上網爬一下文
再次謝謝您百忙之中的回應，也懇請繼續賜教，謝謝！

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

牛哥

iT邦好手 1 級 ‧ 2017-12-14 11:27:26

最佳解答

若是我的話，會想辦法搞一台對照用的UTM。
(用LINUX裝一台也OK，網路搜尋一下就有教學文可照著做。)
然後針對WAN-2，把你原本的防火牆換下來，使用對照用的UTM去配置同樣的虛擬主機。
再確認一下是否問題出在中華電信？還是你原來的UTM配置有問題？

苦主發文中提到的「虛擬指向」，應該就是類似NAT的作用。
但UTM可以代管ISP派給你的IP區域，功能比NAT更強大。
基本上，企業使用了UTM來管理網路環璄後，
應該是把伺服器之類的主機，以內部私用IP的型式去設置好，
然後用苦主所提到的「虛擬指向」功能去配置伺服器對外的服務。
不知苦主有沒有遵照這個原則呢？或著你要使用DMZ的方式？

苦主的問題敍述，若能搭示意圖，標上IP、PORT等數值，會讓人更好理解哦~

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

terryliu iT邦新手 4 級 ‧ 2017-12-14 12:26:59 檢舉

回應牛哥大師：
我補上拓撲圖了，請看上面一點的回應，謝謝...(避免重覆太多次)
我的防火牆沒有任何變動，所以應該不是設定的問題
(是中華電信升級完，該功能就不行了，姑且稱之為「代管WAN IP功能」吧)
P.S. 剛剛補上的圖，有大概標示了比較詳細的資料了，謝謝！

terryliu iT邦新手 4 級 ‧ 2017-12-14 15:25:46 檢舉

補上最完整的圖，同一部防火牆，左右區塊本來都正常，升速並多加 3 個IP後，右邊就變成現在的怪狀況了！
感覺上，右邊在同一個Router下，要求可以正常被處理(不過，我沒有配發外同網段的IP可測...)；但只要出了Router就不行了...怪哉！
完整圖

CalvinKuo iT邦大師 7 級 ‧ 2017-12-15 01:00:45 檢舉

看了這張圖，個人覺得WAN2的防火牆設定應該沒問題。不然61.24.1.243應該是不會通。中華電信機房設定問題(Ayu大提到的IP轉送錯誤問題)...
要測很簡單，防火牆WAN2斷線，找台會回應ICMP的設備電腦或無線AP都行，IP設定為外網無法用的61.24.1.160，用外網TRACERT回來，要我會用手機分享WIFI用筆電測試。若是轉送到其他地方去，就拍照印出來叫中華電信處理....

牛哥 iT邦好手 1 級 ‧ 2017-12-15 01:19:45 檢舉

同感！
答案呼之欲出～

terryliu iT邦新手 4 級 ‧ 2017-12-21 17:31:10 檢舉

回應 CalvinKuo 大師：
防火牆 WAN2 為何要斷線呢？可以解答一下嗎？謝謝！

terryliu iT邦新手 4 級 ‧ 2018-04-12 16:07:28 檢舉

好的...各位觀眾...謎底揭曉！
果然是中華電信的設定有誤，我最近密集打電話去中華的機房(2344-2307)，換了三位工程師陪我測試，雖然還是沒能當下解決問題；但至少有一點結論！
最後結論是由我打電話給「企業客服經理」，請企客這邊由內部提出申請，讓我帶著我的防火牆去「機房」的會議室"實測"給他們看，釐清問題到底是他們的設定還是我這邊的設定有問題！
企客後來回覆我，幫我找另一組人試試，沒想到隔天就有位先生打電話給我，承認他們的設定"似乎"不妥，已經修改相關設定，請我再測試看看...結果-----「它就好了」！

登入發表回應