iT邦幫忙

0

Fortigate 外部dns 無法ping 到內部主機

#fortigate #dns #firewall
arthur 2022-09-05 21:47:421631 瀏覽

  • 分享至 

  • xImage

我在虛擬機架設mail server,然後我dns有監聽wan孔,但我用ping功能,去ping我的虛擬機時ping不到,當我將虛擬機和客戶端連vpn時,客戶卻可以ping到,請問哪裡我有那裡設定錯誤嗎?
這是我的內部DNS
https://ithelp.ithome.com.tw/upload/images/20220905/20151750lSsxGyBYER.jpg

登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
zyman2008
iT邦大師 6 級 ‧ 2022-09-06 13:01:37

要讓 Internet 可以連你要公開的內部網路服務, 在你的防火牆(Fortigate)要做兩個設定.
1.DNAT Port forwarding, 將 Public IP - port/protocol 對應到內部服務
Fortigate 的設定叫做 VIP (virtual IP)
https://docs.fortinet.com/document/fortigate/6.0.0/cookbook/419996/creating-virtual-ip-addresses

2.防火牆規則, 允許 wan to lan 的內部服務
加一條 IPv4 policy. 注意 destination 要選上面建的 VIP 物件.
https://docs.fortinet.com/document/fortigate/6.0.0/cookbook/502582/creating-a-security-policy

Note:
如果你想從內網測試這個 VIP 的 port fowarding. 要處理 NAT hairpin 問題.
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Configuring-Hairpin-NAT-VIP/ta-p/195448
但如果你用 split DNS, 內網 DNS 查詢回內網 IP, 外網查詢回 public IP. 就不需要處理 NAT hairpin.

看更多先前的回應...收起先前的回應...
arthur iT邦新手 5 級 ‧ 2022-09-06 13:08:06 檢舉

我原本要設virtual ip 但forti 本身就把dns的那個port使用了,所以我沒辦法做port forwarding ,而policy的部分我也有設定,但還是無法ping到虛擬主機

zyman2008 iT邦大師 6 級 ‧ 2022-09-06 15:14:10 檢舉

"ping到虛擬主機" 你的 ping 指的是 ICMP ping 嗎 ?
要另外加一個 VIP 物件, port fowarding 選 ICMP.
再加一條 policy, allow to VIP.

arthur iT邦新手 5 級 ‧ 2022-09-06 15:58:11 檢舉

對,我是用icmp的ping,剛剛我照您說的這樣做之後,還是無法ping 到。

arthur iT邦新手 5 級 ‧ 2022-09-06 18:49:31 檢舉

測試中

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙