各位前輩好
想請問小弟公司是雙WAN
近期新增了DMZ,把一台對外WEB主機移過去
Wan1 = 59.119.xxx.xxx
Wan2 = 59.126.xxx.xxx
172.16.1.0/24 = server ip
172.16.2.0/24 = internal user
172.16.3.0/24 = DMZ
172.16.3.50 = web server
server ip使用Wan1上網
internal user使用Wan2上網
目前政策設好後
外部以及server ip都可以ping到與連到web server
internal ip沒辦法ping到或連到web server的內部IP與虛擬IP
卻可以ping到172.16.3.1
拜託前輩們解惑
政策路由
SRC: 172.16.0.0/12,
DST: 172.16.0.0/12,
Service: Any,
Action: Stop policy based route
SRC: server ip
DST: Any
Service: Any,
Action: Wan1
SRC: Internal User
DST: Any
Service: Any,
Action: Wan2
重點在樓主是怎麼運用雙WAN的
是否啟用了政策路由(其實在下很不建議)
在政策路由的模式下
可能要特別設一下172.16.2.0/24的網段
不然優先往Wan2走路由上網了
其他流量是不能到DMZ的
建議參考一下改用SD-WAN (OS 6.0以後版本支援)
歹勢 剛到這間公司接手
是使用政策路由去運行雙WAN
政策路由有特別設172.16.2.0/24走WAN1 最優先順序
結果還是只能PING到172.16.3.1 沒辦法PING到172.16.3.50
另外可以問一下SD-WAN 架構會動很大嗎?
目前公司跟分公司的VPN都是靠政策路由
政策路由有特別設172.16.2.0/24走WAN1 最優先順序
請在這條政策路由之前設一條去DMZ政策路由
如果有反向的需求,也記得多設一條
SD-WAN 架構會動很大嗎?
如果觀念很熟,應該不難,大約半天就可以搞定
如果不是很能掌握,會建議請熟悉技術的SI來做
另外有多個分店用VPN連結,可以用SD-Branch架構
單點的就是SD-WAN而已,多點的SD-Branch會稍複雜
但無論哪種都會比政策路由要簡單的多
順序.編號 進入介面 離開介面 來源 目的
14 port3(LAN) port5(DMZ) 172.16.2.0/24 172.16.3.0/24
15 port3(LAN) port1(WAN1) 172.16.2.0/24 59.119.xxx.xxx
16 port3(LAN) port2(WAN2) 172.16.2.0/24 0.0.0.0/0.0.0.0
大大請問我這樣哪裡設錯嗎 還是沒有通
不好意思我很菜@@
在下看樓主的政策路由應該有點複雜
並不是如樓主所言"設172.16.2.0/24走WAN1最優先順序"而已
Fortigate的政策路由有先後順序且會互相干擾
請務必仔細檢查路由順序(來回的方向都要考慮)清楚
所以在下才會建議用SD-WAN
較新的OS有Stop policy Routing
如樓下bluegrass大大所言
也是可很好的方法
就是內網之間不走政策路由
不過樓主還有外點
會不會有影響就要看網路架構了