可以上網，但卻連不到公司網頁

fortigate 60e tracert unifi 防火牆 appserv

breakgod 2023-06-13 18:03:50 ‧ 3108 瀏覽

分享至

公司有自已架設一台網頁伺服器A
使用appserv架設網站
對內ip是192.168.1.111
對外ip是60.251.11.111(假的數據)
網站網址是company.com.tw
然後有接一組fortigate防火牆A
外部電腦皆可以連的上網頁

公司內部有用unifi設定網段
vlan10~vlan60，分別有對應對外的ip
其中vlan10是給伺服器A用的網段
現在有業務電腦有接一組fortigate防火牆B
用vlan20，可以正常上網
但卻連不到伺服器A的任何一個網頁
對內ip是192.168.20.160
對外ip是125.227.22.222(假的數據)

嘗試過使用tracert

tracert yahoo.com.tw是ok的
tracert 192.168.1.111是ok的
tracert company.com.tw是不行的，會逾期無回應
tracert 60.251.11.111是不行的，會逾期無回應

我懷疑是unifi或是foritgate的問題
但找了找，也設定了，皆無可疑的問題
請問這是有什麼可能的問題呢？
還請各位指點一下方向，謝謝

竹本立里 iT邦好手 1 級 ‧ 2023-06-14 09:15:04 檢舉

tracert company.com.tw是不行的，會逾期無回應
tracert 60.251.11.111 是不行的，會逾期無回應

所以這兩個是斷在哪一個節點 ??

breakgod iT邦新手 2 級 ‧ 2023-06-14 09:31:32 檢舉

你好，已經在文章中補上附圖，完全沒有出去就等候逾時了

窮嘶發發發 iT邦高手 1 級 ‧ 2023-06-15 11:00:13 檢舉

tracert 60.251.11.111 是不行的，因為預設 NAT loopback 是不開的 ...
只有開了之後，你才能在內部 tracert 60.251.11.111
不然你 tracert 60.251.11.111 要在外面做，例如用手機上 4G/5G 網路測試看看

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

sd3388

iT邦好手 1 級 ‧ 2023-06-13 18:14:23

最佳解答

NAT loopback 要設
你可去Fortigate上收一下封包
看伺服器接收的是來自哪的IP

回應 3
分享
檢舉

窮嘶發發發 iT邦高手 1 級 ‧ 2023-06-14 16:14:45 檢舉

這是正解，假如沒有內部 DNS，那麼就得開 NAT loopback
除非你有內部 DNS ，把伺服器 A 的內部 IP 登錄上去
那麼你在測試的時候，他就會回應內部的IP，而不是外部的IP
還有 DNS 內外有別，別想我伺服器A 用一台DNS，
給他兩個紀錄，一個內部IP一個外部IP，外部查詢能找到內部IP才有鬼 ...

望空 iT邦新手 1 級 ‧ 2023-06-16 11:53:08 檢舉

貌似跟routeros沒有設定hairpin NAT一樣的情況

breakgod iT邦新手 2 級 ‧ 2023-06-17 09:19:17 檢舉

感謝各位的回應，目前已經找到方向了
是中間cloudflare的proxy沒有打開所導致的
完全沒有想到是cloudflare那的問題
還以為是公司fortigate這邊設定的問題
萬分感謝各位的幫忙!!!

登入發表回應

bluegrass

iT邦高手 1 級 ‧ 2023-06-13 19:09:42

60.251.11.111/32打到FORTIGATE的WAN口上去作為SECONDARY IP

回應 2
分享
檢舉

breakgod iT邦新手 2 級 ‧ 2023-06-14 09:52:57 檢舉

不好意思，昨天發的文章，少說了一點，業務主機對外是走另一個ip出去的QQ

bluegrass iT邦高手 1 級 ‧ 2023-06-15 09:06:53 檢舉

有架構圖?

登入發表回應

mathewkl

iT邦高手 1 級 ‧ 2023-06-14 13:20:45

內部DNS的問題吧
A company.com.tw 192.168.1.111
route找的到192.168.1.111
但不知道company.com.tw在內部要找192.168.1.111

Forti對於封包出去又回來這個行為一直都很感冒會直接消失
內部瀏覽就在內部解決，不能封包出去結果發現目的在內部又丟回來

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

breakgod iT邦新手 2 級 ‧ 2023-06-14 13:28:58 檢舉

這應該不是封包出去又回來，兩台主機，外部ip都是不一樣的

mathewkl iT邦高手 1 級 ‧ 2023-06-14 14:38:05 檢舉

192.168.1.111的80/443有顯示嗎?
有，就去新增內部DNS；沒有，就去查為何tracert可以但80/443不行

breakgod iT邦新手 2 級 ‧ 2023-06-14 15:07:02 檢舉

請問192.168.1.111的80/443，這是指什麼的操作呢？謝謝

mathewkl iT邦高手 1 級 ‧ 2023-06-14 15:12:17 檢舉

痾..就網頁的port，還是你們網頁不是http(80)/https(443)?

breakgod iT邦新手 2 級 ‧ 2023-06-14 15:19:51 檢舉

是的，我知道，只是看說是用ping還是tracert，還是什麼指令去測XD
用網頁去開是都開不起來的，這點有試過，謝謝^^

froce iT邦大師 1 級 ‧ 2023-06-15 15:44:42 檢舉

https://www.hwchiu.com/nat-loopback.html

這篇解釋得很清楚。
不是很感冒，對於防火牆來說這應該是很正確的行為。
解法就是架內部DNS server或NAT lookback。
我個人會比較偏向架內部DNS server，內部網路的設定指向內部DNS server。

登入發表回應

yesongow

iT邦大師 1 級 ‧ 2023-06-15 02:17:11

公司內部所有電腦，去連company.com.tw需要連192.168.1.111這個IP
所以，
要嘛，第一種，防火牆LAN to WAN 轉to LAN (NAT Loopback)
要嘛，第二種，公司內部架設AD及dns，解析company.com.tw A Record＝192.168.1.111
方式二，適合低階防火牆，沒有NAT loopback功能的防火牆
方式二，適合架設內部網站，該網站不在Internet裸奔...減少遭入侵、滲透的事件發生