2台防火牆做路由的問題

路由器 fortigate

阿輪 2022-02-10 16:07:18 ‧ 2244 瀏覽

分享至

公司上頭又開了特殊的挑戰...
原路由器(UnuFi)在分公司用Fortigate打IPsec回來時常常會斷線
可是打我們的Fortogate就不會，對方推托是我們UI的問題
(我們自己其他點的fortigate打回來就沒事...)

但上頭不想把UniFi撤掉
所以現在要再特地用Fortigate 80e去架一台防火牆給分公司打IPsec

現在的問題是那條IPsec的作用是給我們連去分公司的系統
但原使用者都在UniFi的網段上

要怎麼設定要去那個網頁時Unifi的使用者會透過80e阿...

這種莫名其妙的架構想的頭有夠痛的

看更多先前的討論...收起先前的討論...

補覺鳴詩 iT邦高手 1 級 ‧ 2022-02-10 16:19:09 檢舉

不就一般的路由設定而已?
unifi 把公司的 IP 網段往 fortigate 丟

kobecho iT邦新手 3 級 ‧ 2022-02-10 16:46:02 檢舉

VLAN對應就可以了

竹本立里 iT邦好手 1 級 ‧ 2022-02-11 09:16:56 檢舉

不就一般的路由設定而已?
unifi 把公司的 IP 網段往 fortigate 丟
+1

阿輪 iT邦新手 4 級 ‧ 2022-02-16 12:43:28 檢舉

我也是想到這邊，不過總覺得哪裡怪怪的
所以我分公司的系統外部IP設定給他路由去.2他就自己會從80E出去了嗎？

所以我UI還得先打一條ipsec去80E麻？

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

mathewkl

iT邦高手 1 級 ‧ 2022-02-10 16:21:59

連進分公司網頁的走Gateway 192.168.2.0

如果192.168.1.0是FortiGate的話(我比較熟Forti)
會這樣設定
從使用者VLAN介面進入，從.1.0連.2.0的port介面離開
來源是使用者
目的是分公司網頁系統

這樣只要瀏覽分公司網頁系統就會導去.2.0
再來.2.0要再設政策把這些流量導去分公司那邊

回應 2
分享
檢舉

阿輪 iT邦新手 4 級 ‧ 2022-02-16 12:48:12 檢舉

所以80E上面要設一個來源1.0目的地是公司網頁嗎？

mathewkl iT邦高手 1 級 ‧ 2022-02-16 13:19:43 檢舉

進入介面.1.0接過來的port，離開介面IPsec，來源all或.1.0接過來的IP，目的公司網頁

登入發表回應

keishaphillips

iT邦見習生 ‧ 2022-02-10 19:24:06

【＊＊此則訊息已被站方移除＊＊】

by2048

iT邦高手 1 級 ‧ 2022-02-11 10:01:56

兩台如在同一環境改成一台防火牆設上vlan
免設路由

兩台如不在同一環境,設上ipsec vpn 透過INTERNET 互聯
需設路由

貴司感覺想在unfi fortigate 各取一個port 設上ip及路由互通
192.168.3.1/252 192.168.3.2/252

回應 2
分享
檢舉

阿輪 iT邦新手 4 級 ‧ 2022-02-16 12:49:09 檢舉

目前是這樣設定
但是卡在我要怎麼跟80E說".1.0的過來這邊去那個網頁"

by2048 iT邦高手 1 級 ‧ 2022-02-17 13:39:18 檢舉

80e應該會設一個port 給一個地端unfi ip
80e會設兩個防火牆政策,分別
進入的界面port,離開的界面subnet
進入的界面subnet,離開的界面port

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22201 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙