架在公司內的網站主機之外網網址從公司內部流覽器連不上？

網站轉址

allen191975 2023-07-12 11:44:26 ‧ 1843 瀏覽

分享至

各位前輩好

情況是這樣的
公司內部建了一台server，安裝軟體提供給分佈在全台的同仁透過網址連線使用。
暫稱為server A

做了什麼
1.內網網址192.168.0.aa可正常連上。
2.在fortigate 60D 設定了virtual IP轉址至外部IP。例123.12.123.12<一>192.168.0.aa
3.在fortigate 60D上設定policy：
from：WAN1
TO：INTERNAL
source：all
destination則為第3點設定的Virtual IP
開的服務就只有HTTP,HTTPS
4.透過智邦設定了DNS：mycompany.com.tw連接上述之123.12.123.12
5.
但從公司內網卻怎樣都無法連上123.12.123.12及mycompany.com.tw

請教各位前輩
不知上述設定是哪裡出了問題？？

PS1.上面的設定方式是參考60D內原有的另一台SERVER B 的參數來設定的。差別只有PORT不同而已。但該主機網址在公司內部卻可直接透過輸入外部IP的方式連線沒問題。

ps2.若將server A對應的外部ip指到server B相同的外部ip。則完全沒問題。

ps3.server A欲指定之123.12.123.12測試過透過小烏龜直連沒問題。

leem iT邦新手 5 級 ‧ 2023-07-12 11:57:44 檢舉

內部有DNS server嗎? 若有的話，那新增一筆mycompany.com.tw 的A紀錄。

allen191975 iT邦新手 4 級 ‧ 2023-07-13 09:13:26 檢舉

內部沒有

雷伊 iT邦高手 1 級 ‧ 2023-07-17 13:42:31 檢舉

支持 leem 的方法

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

sd3388

iT邦好手 1 級 ‧ 2023-07-12 12:07:33

兩台server參照policy你確定有一樣嗎
FG-60D是已汰除的設備，OS沒法更新了
你的OS版本是多少，可能也有關

建議你仔細比對一下
如果當初不是你設定的
可以找SI問問當初設的情況
FG-60D沒有disk
不然從log也可以看到原因

回應
分享
檢舉

登入發表回應

Ray

iT邦大神 1 級 ‧ 2023-07-12 13:23:43

你需要多加一個 NAT Reflection 設定 (又稱為: Hairpin NAT 或 Loopback NAT):

以下是圖解:
https://networkinterview.com/nat-reflection-fortigate-firewall/

這裡有些相同案例:
https://ithelp.ithome.com.tw/questions/10193312

https://ithelp.ithome.com.tw/questions/10147609

回應 2
分享
檢舉

窮嘶發發發 iT邦高手 1 級 ‧ 2023-07-13 10:14:43 檢舉

這是正解，已經上了 SSL 憑證，即使是內部也不該用內部IP連上該網站，基本上應當連不上去的，因為憑證的核許IP 一定是外部的那個IP，因此NAT得開 Reflection或 Hairpin 或 Loopback ，即使你內部使用內部DNS，該主機也該登記為外部IP，不該登記為內部IP
甚至最好要把這台主機丟進DMZ裡面，避免該主機被攻破內部網路也跟著掛掉