iT邦幫忙

0

[已解決]Fortigate 從公司內電腦,經由外部IP連到內部Web Server 問題

  • 分享至 

  • xImage

台灣公司外部IP假設為1.1.1.1~6
(.1設防火牆出口IP,.2對應內部Web Server,.3~6未使用)
在Fortigate內設定Virtual IP將1.1.1.2:443 對應192.168.2.1:443 (Web Server)
這樣公司外部、內部192.168.1.0/24網段,都可經由1.1.1.2連到Web Server
但因1.1.1.2經常被大陸封鎖,所以我將IP改為1.1.1.3 對應192.168.2.1:443
這樣一改,外面能連進來沒問題,但反而內部192.168.1.0/24就無法透過1.1.1.3 連入
只能從走內部192.168.2.1連Web Server
檢查靜態路由、策略路由,都沒有相關設定,外對內、內對內策略也沒去動
不知可能由什麼原因造成?謝謝。
嘗試改回1.1.1.2就正常,Web Server防火牆及SELINUX都是關閉狀態

看更多先前的討論...收起先前的討論...
student iT邦新手 2 級 ‧ 2019-03-15 17:03:36 檢舉
主機若是在大陸,可能是該IP 80被封了(?
vicentli iT邦研究生 4 級 ‧ 2019-03-15 17:47:56 檢舉
主機在台灣,台灣可以用.2外部IP連到內部的Web Server,但沒辦法用.3連入
mytiny iT邦超人 1 級 ‧ 2019-03-16 10:17:00 檢舉
樓主政策路由用太多,很容易有衝突
vicentli iT邦研究生 4 級 ‧ 2019-03-16 14:40:01 檢舉
您好,政策路由僅有針對來源是視訊主機、郵件主機 做出去的線路調整(公司有2條線路),並沒其他設定。不過問題已解決了,謝謝
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
bluegrass
iT邦高手 1 級 ‧ 2019-03-15 20:06:44
最佳解答

**你在WAN上的SECONDARY IP ADDRESS輸入 1.1.1.2~6

再試試**

vicentli iT邦研究生 4 級 ‧ 2019-03-15 23:23:48 檢舉

太好了!可以用了,太感謝你了!困擾好多天了

bluegrass iT邦高手 1 級 ‧ 2019-03-16 22:55:23 檢舉

不客氣, 謝最佳解答

0
hsiang11
iT邦好手 1 級 ‧ 2019-03-15 17:11:53

要是我不太愛用Virtual IP
把內部網段都打通後
直接給內部IP 192.168.2.1:443讓內部去連
把問題搞複雜自己反而想不通原因

vicentli iT邦研究生 4 級 ‧ 2019-03-15 17:51:20 檢舉

主要是因為台灣、大陸兩地AD/DNS是同步的,為避免大陸也用內部IP連回來台灣Web Server 佔用MPLS頻寬,所以我所有服務DNS一律都打外部IP。之前嘗試用安全性設定來禁止特定DNS記錄被同步,使同筆記錄台灣可設定解析內部IP,大陸解析外部IP,但經常會碰到一邊的DNS設定被刪除無法連上。改回同步都設一樣就沒事

0
ci426721
iT邦新手 5 級 ‧ 2019-03-15 17:43:24

有可能ISP沒有規劃到 所以路由沒有做到 WAN(略.1)連到 WAN(略.3)
詢問看看isp 如果確定Firewall設定都正確的話

vicentli iT邦研究生 4 級 ‧ 2019-03-15 17:53:52 檢舉

謝謝!我再問一下ISP業者

我要發表回答

立即登入回答