型號:fortigate100E
韌體:v6.2.7
遇到情況是有設定virtual ip,外部IP對應到內部IP,
ex. 211.77.88.50 -> 10.1.8.5
211.77.88.51 -> 10.1.8.6
但不定時會發生,10.1.8.5或10.1.8.6會不能ping到外網,發生的當下把virtual ip的設定改掉,再改回原本就又可以正常使用。
(ex.211.77.88.50 -> 先改成10.1.8.55 在改回 10.1.8.5)
看log像是有傳送出去但接受沒有,當下從別的外部ip 去ping 211.77.88.50也是沒有回應的。
請問有甚麼可能原因造成這個問題?
若還有需要提供甚麼資訊,請再告知,感謝。
看當下log顯示有傳送出去的資料,但接收的資料是0。
已邀請的邦友 {{ invite_list.length }}/5
樓主的Fortigate是否有多條外線
目前外線的連接是否沒有採用SD-WAN
是使用ECMP還是Policy Route
如果以上的答案都是符合的
很可能是路由問題
也可能是去回有時後不同向所造成
因不在現場無法判定深層內容
還需要貴公司WAN端的相關架構與規劃
解決方法待更清楚後再做討論
是的,有兩條外線WAN1,WAN2沒有採用SD-WAN
有用policy route
主要上網都透過WAN2,只有兩台特定主機透過WAN1
static route
WAN2 是設定destination:0.0.0.0/0.0.0.0
distance:10 priority:0
WAN1 是設定destination:0.0.0.0/0.0.0.0
distance:10 priority:5
policy route是設定
兩台特定主機IP,destination:0.0.0.0/0.0.0.0
透過WAN1出去。
若還需要更多資訊,再麻煩告知。
再不能連線的當下,我有試著停掉policy route或著把wan1停用,都但沒用。只有改virtual ip對應內部IP,再改回原本對應IP才會正常。
或是停用外部連到虛擬IP的policy,該虛擬IP對應的內部IP也能ping出去了,但是這樣外面就連不進這台主機,這台主機服務需要被外部連線。
當在下試著想解釋狀況腦中跑過好幾種可能後
覺得還是留給SI跟樓主慢慢討論
在下直接提供幾個解決的方向,希望對樓主有幫助
1.SD-WAN這一塊我要再研究看看怎麼使用,沒有使用過。wan1的服務對方會鎖定我方固定IP,不同IP不能連,不知是否適用SD-WAN。
2.我先把不需政策路由的都設定stop policy routing
3.在有問題的當下tracert出不去,看不到資料流動路徑,我研究看看diag sniffer。
感謝提供建議,現在有甚麼可能都歡迎大家提供我去測試,因為我實在想不出怎麼解決了。
因為剛好最近有換防火牆,但政策跟韌體版本都是一模一樣的,但感覺不是硬體問題。設定也都跟以前一樣,也是想知道造成的原因是甚麼。
廠商有要我修改出去的政策nat改成用Dynamic IP Pool,並把出去的IP設定為over load,但設定完還是有一樣的情形。
還是再次感謝mytiny,每次發問網路相關問題,都有受到你的回答幫助。
再次補充 2.我先把不需政策路由的都設定stop policy routing
這個設定完還是一樣會出現問題
廠商跟我還再找問題原因..
在下猜測可以試試以下辦法,(因不了網路全貌,抱歉)
如果,在下是說如果
之前設定與目前設定只有機型不同
那肯定是漏掉了什麼沒注意到
也許是Policy route的ID順序
也有可能是其他小地方沒注意到
畢竟機器不會有錯,人才會犯錯
或將原先的config切成不同功能段,分別匯入新機試試
之前在下移轉不同機型時有用過這種辦法
如果匯入不成功會顯示失敗,可以來debug
SD-WAN沒有想像的難搞
只是可能需要打掉config重練
如果樓主網路很複雜,SI可能會很苦惱而已
在下感覺Fortigate因為功能太多,已經越來越複雜
不像早期只是防毒防入侵那麼單純了
1.SD-WAN這一塊我要再研究看看怎麼使用,沒有使用過。wan1的服務對方會鎖定我方固定IP,不同IP不能連,不知是否適用SD-WAN。
可以
IPv4政策
外對內虛擬IP
內對外NAT IP Pool超載
排序越上面的政策有優先權,超載政策要高於其他同IN-OUT組別的內對外政策
不然會被蓋過
iThome鐵人賽
看影片追技術