FortiGate DHCP Relay

fortigate dhcp relay

shiang852807 2023-01-07 12:12:44 ‧ 2343 瀏覽

分享至

家裡網路架構如圖

目前防火牆有設定Policy

172.21.129.0 到 10.129.21.0 accept，開啟NAT
10.129.21.0 到 172.21.129.0 accept，開啟NAT

172.21.129.254介面設定DHCP Relay 10.129.21.111

DHCP Server發的IP為172.21.129.0網段IP

請問還須設定什麼，才能讓連接AP的設備，拿到DHCP Server發的IP

2023/1/7 18:30 更新(已解決)

1.新增一筆靜態路由

2.刪除(10.129.21.0 到 172.21.129.0 accept，開啟NAT)此筆Policy
3.172.21.129.0 到 10.129.21.0 只允許DHCP服務通過，關閉NAT

連接AP的用戶端可以順利拿到HCP Server發的IP了

看更多先前的討論...收起先前的討論...

李大瑋 iT邦好手 1 級 ‧ 2023-01-07 13:13:56 檢舉

看了好久
我在想你要的目的是否是不要抓到EAP115的DHCP
而是直接抓50E的DHCP
如果是我講的要求的話
請關閉EAP115的DHCP
並且把EAP115的IP設成10.129.21.1(建議)
然後將LAN接到50E
理論上就可以完成您的要求

mathewkl iT邦高手 1 級 ‧ 2023-01-07 13:28:51 檢舉

為何不在防火牆VLAN做DHCP...?

shiang852807 iT邦新手 5 級 ‧ 2023-01-07 13:44:51 檢舉

李大瑋大，EAP115為AP，沒有DHCP，EAP115為172.21.129.0 網段

shiang852807 iT邦新手 5 級 ‧ 2023-01-07 13:47:40 檢舉

mathewkl 大，原本其實就是在防火牆上做DHCP，因有其他考量，故另架DHCP Server

李大瑋 iT邦好手 1 級 ‧ 2023-01-07 14:33:22 檢舉

shiang852807
你既然讓設備EAP115使用172.21.129.0網段
又要讓他取得10.129.21.0網段
為何不把它規劃成同一段10.129.21.0網段
這樣比較不會有問題吧
網段跳來跳去WIFI要如何抓DHCP呢?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

mathewkl

iT邦高手 1 級 ‧ 2023-01-07 14:15:57

172.21.129.0 到 10.129.21.0 accept，開啟NAT

10.129.21.0 到 172.21.129.0 accept，開啟NAT

兩行都刪除，
另外NAT會讓DHCP Server看到127.21.129.254丟IP配發請求，Client是拿不到東西的

在Interface的DHCP主機直接設定Relay

回應
分享
檢舉

登入發表回應

sd3388

iT邦好手 1 級 ‧ 2023-01-07 21:26:58

路由觀念一團混論
Fortigate介面與介面之間不用設路由
除非你自作聰明開了政策路由

被NAT過的目的地
是要怎麼知道原來的來源IP(DHCP主機)呢
這樣當然回不去DHCP server位置呀
你的AP之下的設備如果設IP都ping不到DHCP主機
那不就表示沒法通網路嗎
現在說解決了到底知不知道是為什麼
還是犀利糊塗說會通就好

回應 1
分享
檢舉

shiang852807 iT邦新手 5 級 ‧ 2023-01-07 23:00:48 檢舉

感謝指點迷津，已將靜態路由拿掉，確實是多設的，另外並沒有使用政策路由。
初學者，還請擔待

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙