[已解決]Fortigate 從公司內電腦，經由外部IP連到內部Web Server 問題

fortigate

vicentli 2019-03-15 16:11:11 ‧ 5043 瀏覽

分享至

台灣公司外部IP假設為1.1.1.1~6
(.1設防火牆出口IP，.2對應內部Web Server，.3~6未使用)
在Fortigate內設定Virtual IP將1.1.1.2:443 對應192.168.2.1:443 (Web Server)
這樣公司外部、內部192.168.1.0/24網段，都可經由1.1.1.2連到Web Server
但因1.1.1.2經常被大陸封鎖，所以我將IP改為1.1.1.3 對應192.168.2.1:443
這樣一改，外面能連進來沒問題，但反而內部192.168.1.0/24就無法透過1.1.1.3 連入
只能從走內部192.168.2.1連Web Server
檢查靜態路由、策略路由，都沒有相關設定，外對內、內對內策略也沒去動
不知可能由什麼原因造成？謝謝。
嘗試改回1.1.1.2就正常，Web Server防火牆及SELINUX都是關閉狀態

看更多先前的討論...收起先前的討論...

student iT邦新手 2 級 ‧ 2019-03-15 17:03:36 檢舉

主機若是在大陸，可能是該IP 80被封了（？

vicentli iT邦研究生 4 級 ‧ 2019-03-15 17:47:56 檢舉

主機在台灣，台灣可以用.2外部IP連到內部的Web Server，但沒辦法用.3連入

mytiny iT邦超人 1 級 ‧ 2019-03-16 10:17:00 檢舉

樓主政策路由用太多，很容易有衝突

vicentli iT邦研究生 4 級 ‧ 2019-03-16 14:40:01 檢舉

您好，政策路由僅有針對來源是視訊主機、郵件主機做出去的線路調整(公司有2條線路)，並沒其他設定。不過問題已解決了，謝謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

bluegrass

iT邦高手 1 級 ‧ 2019-03-15 20:06:44

最佳解答

**你在WAN上的SECONDARY IP ADDRESS輸入 1.1.1.2~6

再試試**

回應 2
分享
檢舉

vicentli iT邦研究生 4 級 ‧ 2019-03-15 23:23:48 檢舉

太好了！可以用了，太感謝你了！困擾好多天了

bluegrass iT邦高手 1 級 ‧ 2019-03-16 22:55:23 檢舉

不客氣, 謝最佳解答

登入發表回應

hsiang11

iT邦好手 1 級 ‧ 2019-03-15 17:11:53

要是我不太愛用Virtual IP
把內部網段都打通後
直接給內部IP 192.168.2.1:443讓內部去連
把問題搞複雜自己反而想不通原因

回應 1
分享
檢舉

vicentli iT邦研究生 4 級 ‧ 2019-03-15 17:51:20 檢舉

主要是因為台灣、大陸兩地AD/DNS是同步的，為避免大陸也用內部IP連回來台灣Web Server 佔用MPLS頻寬，所以我所有服務DNS一律都打外部IP。之前嘗試用安全性設定來禁止特定DNS記錄被同步，使同筆記錄台灣可設定解析內部IP，大陸解析外部IP，但經常會碰到一邊的DNS設定被刪除無法連上。改回同步都設一樣就沒事

登入發表回應