大家好,爬了很多的文,還是無法解決三網段互通的問題
環境設定如下:
Fortigate 60C
WAN1: 外網
LAN: 172.16.31.5/24 軟體交換器
Static Route1: 192.168.8.0/24 --> 172.16.31.3
Static Route2: 192.168.7.0/24 --> 172.16.31.4
ASUS N12HP
WAN: 172.16.31.4/24 NAT Enable GW:172.16.31.5
LAN: 192.168.7.4/24 DHCP: 192.168.7.20 ~ 50
Windows 2012R2 with Dual Network Adapter
WAN: 172.16.31.3/24 Routing with NAT Enable GW:172.16.31.5
LAN: 192.168.8.3/24 DHCP: 192.168.8.20 ~ 50
問題:
172.16.31.0 和 192.168.7.0 內的PC, ping 不到 192.168.8.0 內的PC
192.168.8.0 內的PC可以 ping到 192.168.7.0 和 172.16.31.0 內的PC
想請教各位先進,請問該如何解決呢?謝謝。
已邀請的邦友 {{ invite_list.length }}/5
看樓主這樣用Fortigate 60C,真心覺得太可惜了
明明很簡單的網路架構搞成這樣,可惜了...
因為樓主的FortiOS最高只能到5.2.13,小弟的建議如下:
以上建議供樓主參考,定可快速解決三段互通
謝謝,1.有考慮用WAN2和DMZ來做三網段,我再試試看。2.另外如果廢掉一個網段,似乎也可以。反正只是測試用,原來家庭用的分享器,沒辦法做到L3的功能。
請教先進,看了一下command,要變成interface mode應該沒問題,這樣似乎N12HP和windows2012都直接廢掉就可以了,通通都在60C上做Routing就好是嗎?原來60C可以切成interface mode啊。
確實如此的,這樣會變成獨立port1,2...
port1 做 172.16.31.x
port2 做 192.168.7.x
port3 做 192.168.8.x
不需要廢掉任何網段
另外不用額外設定routing,介面與介面自己會通
只需要設防火牆政策就好
感謝先進提點,不知道Fortigate可以這樣切,還花時間研究兩光的IP分享器,reset Fortigate重來試試看,再回報,謝謝。
感謝前輩,目前三網段都ping通了,謝謝。
1.想知道介面底層互通是如何做的?
2.目前只差DNS,原本在192.168.8.0有AD網域和DNS主機在同一台Windows 2012R2,想再請教是不是把DNS主機移到60C上面會比較好呢?
謝謝。
Fortigate有路由的運作規則
除非樓主啟用了政策路由
不然直接連接(介面to介面)規則會優先於靜態路由
因此直接聯接介面就會通
DNS放哪裡倒不是很要緊,因為網路都連的到
倒是樓主防火牆政策有點偷懶
建議還是一個介面對一個介面,一條條設
這樣雖然規則很多,但找問題時候會比較清楚
謝謝前輩提點,已將防火牆政策逐一重設,
Wifi也已經設定好了,但似乎只能做軟體交換器。
未來還會做RADIUS,看了一下步驟和一般家用分享器比起來複雜一些。
http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Wireless/wireless-ADauth.html
第一次用FortiOS,拜前輩之福,學到很多,再次感謝。
ASUS N12HP
WAN: 172.16.31.4/24 NAT Enable -> NAT Disable & Routing Enable
怎感覺這樣的敘述才對
還有172.16.31.3和31.4的gateway是誰
ASUS 應該要用Route Mode 才對
還有
你的172.16.31.3是不是雙網卡 ?
請秀一下 Route PRINT
防火牆的DHCP設定要開
一般來說 DHCP 預設是關的
網段問題的話 應該跟樓上說的方式差不多
iThome鐵人賽
看影片追技術