Fortigate 81F外網部分不通

fortigate fortinet 網路

sucksemil 2022-04-11 09:55:19 ‧ 1605 瀏覽

分享至

公司舊防火牆的內部IP為192.168.a.1，而公司內PC的getway也都是192.168.a.1
新換上的Fortigate 81F，IP同樣設為192.168.a.1，開啟DHCP，但內部有一半的PC只有內網通，外網不通，無論是DHCP或是直接在PC上設定固定IP都一樣

只好拿出舊防火牆外部設上HINET的另一個固定IP，內部IP設為192.168.a.100，關掉Fortigate 81F的DHCP，開啟舊防火牆的DHCP，然後將無法經由Fortigate 81F連通外網的PC都設為DHCP，getway走舊防火牆的192.168.a.100才連通外網

但這只能暫時解決問題，想請問為何有半數電腦都無法走Fortigate 81F的getway出去??

4/15
最近幾天看了一下81F的設定看不出甚麼問題，當初是買兩台做ha(所以設定都一樣)，後來其中一台拿去外點對公司這台做site to site，但外點的對外網路並沒有如公司不通的問題，所以是不是該排除是設定上的錯誤??

但如果不是設定上的錯誤，那就是環境的錯誤，可現有環境走另一個getway又毫無問題，就讓人摸不著頭緒了

還有個奇怪的情況是有些原本GETWAY可以走81F連外的電腦，突然就不通，必須改GETWAY走其他機器出去才能通
又或者有些原本GETWAY設81F不通的電腦，某天試著改設81F又通了

看更多先前的討論...收起先前的討論...

逢摸必爆MIS iT邦研究生 3 級 ‧ 2022-04-11 10:11:46 檢舉

中間有沒有其他設備
看一下不能上網的電腦是集中在一區還是分散
集中在一區的話就沿著設備找看看是不是哪裡有設定沒跟著異動

harrytsai iT邦新手 1 級 ‧ 2022-04-11 10:12:37 檢舉

你檢查一下兩台的規則有設定一樣嗎

sucksemil iT邦新手 2 級 ‧ 2022-04-11 10:39:30 檢舉

@逢摸必爆MIS 中間有經過一些switch，不過每層樓都有發生，不侷限哪一區，也不侷限某些ip(例如192.168.a.30-191.168.a.40)
@harrytsai 兩台差異過大，舊的只有基本設定沒太多規則，而Forti是SI工程師設的

mathewkl iT邦高手 1 級 ‧ 2022-04-11 10:52:37 檢舉

要看log是什麼原因阻擋連線，我們也不知道新防火牆設了什麼。

harrytsai iT邦新手 1 級 ‧ 2022-04-11 18:11:10 檢舉

還有一個是另外有設備再派IP

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

bluegrass

iT邦高手 1 級 ‧ 2022-04-11 14:00:59

你FORTIGATE的POLICY, NAT跟ROUTE有設定好=.=?

回應 3
分享
檢舉

sucksemil iT邦新手 2 級 ‧ 2022-04-15 15:12:02 檢舉

NAT只設定攝影主機和ERP連入的轉址

bluegrass iT邦高手 1 級 ‧ 2022-04-15 22:23:34 檢舉

static route 也看一下

另你WAN IP別公開.

再來試試在FORTIGATE PING不通的機器

比如你192.168.a.168換成FORTIGATE之後就沒法上網

那這時候就在FORTI上execute ping 192.168.a.168

sucksemil iT邦新手 2 級 ‧ 2022-04-18 09:36:09 檢舉

WAN IP有修圖改過，感謝

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2022-04-11 19:04:49

首先，Forti是SI工程師設的
不能請工程師來解決嗎?
其次，沒有設定說明大家無從判斷
觀落陰對工程師來說是個很難的工作
DHCP設了什麼?
防火牆政策設了什麼?
網路結構是什麼?
電腦端又是什麼狀況?
請千萬不要以為網路很簡單
架構網路前務必先規劃清楚
不先想清楚就下去開幹很危險
等等又要賴設備BUG了，真冤