iT邦幫忙

0

fortigate policy route設定問題

情況是有A.B兩廠,B廠對外網路都會導回A廠,所以在B廠的防火牆上有設定
一條static route讓所有流量都導到對A廠的vpn router。
類似下面這樣 Destination gateway interface
static route:0.0.0.0 10.4.4.253 lan
但因為加了這條變成B廠防火牆的wan ip不能被ping通,請問有甚麼方法能讓B廠防火牆上的wan介面IP能正常使用?
原因應該是因為路由問題,有試過static route加入走wan gateway出去且讓這條路由優先使用,wan ip就能正常被Ping通。
也試過設定Policy route讓wan ip從wan gateway走,但好像沒作用。

1 個回答

1
mytiny
iT邦大師 1 級 ‧ 2018-12-14 23:32:53
最佳解答

樓主static route加入走wan gateway後,有什麼狀況嗎?
是不是變得有些IP能回A廠,有些不能
如果目的IP相同且設Destination值一樣,就會自動啟用ECMP
如果Destination值不一樣,流量又不會去高的那一路徑
小弟建議樓主可以試試Destination值一樣,
但優先權設不同,讓VPN那條值比較小
試試看,或許會能解這個困擾
(小弟比較不建議用政策路由)

好奇的是,為何不將B廠的某個防火牆介面IP給maping到A廠外部的實體IP
這樣只要VPN有通的時候,不就可以連到B廠的防火牆
反正如果B廠WAN故障的時候,VPN也不會通不是嗎?

vit5015 iT邦新手 4 級 ‧ 2018-12-17 09:04:10 檢舉

感謝,這樣設定就可以了。多設一條從wan gateway走,但優先權數字設定比較大,wan ip就能正常用了。
其實是要用B廠線路的固定IP maping到server,才發現這個問題,而A廠的固定IP又不夠用。
B廠WAN故障VPN還是會通,vpn router是在lan裡面,router有連接廠商線路,中間是透過廠商處理的。

我要發表回答

立即登入回答