iT邦幫忙

0

架在公司內的網站主機之外網網址從公司內部流覽器連不上?

  • 分享至 

  • xImage

各位前輩好

情況是這樣的
公司內部建了一台server,安裝軟體提供給分佈在全台的同仁透過網址連線使用。
暫稱為server A

做了什麼
1.內網網址192.168.0.aa可正常連上。
2.在fortigate 60D 設定了virtual IP轉址至外部IP。例123.12.123.12<一>192.168.0.aa
3.在fortigate 60D上設定policy:
from:WAN1
TO:INTERNAL
source:all
destination則為第3點設定的Virtual IP
開的服務就只有HTTP,HTTPS
4.透過智邦設定了DNS:mycompany.com.tw連接上述之123.12.123.12
5.
但從公司內網卻怎樣都無法連上123.12.123.12及mycompany.com.tw

請教各位前輩
不知上述設定是哪裡出了問題??

PS1.上面的設定方式是參考60D內原有的另一台SERVER B 的參數來設定的。差別只有PORT不同而已。但該主機網址在公司內部卻可直接透過輸入外部IP的方式連線沒問題。

ps2.若將server A對應的外部ip指到server B相同的外部ip。則完全沒問題。

ps3.server A欲指定之123.12.123.12測試過透過小烏龜直連沒問題。

leem iT邦新手 4 級 ‧ 2023-07-12 11:57:44 檢舉
內部有DNS server嗎? 若有的話,那新增一筆mycompany.com.tw 的A紀錄。
內部沒有
雷伊 iT邦高手 1 級 ‧ 2023-07-17 13:42:31 檢舉
支持 leem 的方法
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
sd3388
iT邦好手 1 級 ‧ 2023-07-12 12:07:33

兩台server參照policy你確定有一樣嗎
FG-60D是已汰除的設備,OS沒法更新了
你的OS版本是多少,可能也有關

建議你仔細比對一下
如果當初不是你設定的
可以找SI問問當初設的情況
FG-60D沒有disk
不然從log也可以看到原因

2
Ray
iT邦大神 1 級 ‧ 2023-07-12 13:23:43

你需要多加一個 NAT Reflection 設定 (又稱為: Hairpin NAT 或 Loopback NAT):

以下是圖解:
https://networkinterview.com/nat-reflection-fortigate-firewall/

這裡有些相同案例:
https://ithelp.ithome.com.tw/questions/10193312

https://ithelp.ithome.com.tw/questions/10147609

這是正解,已經上了 SSL 憑證,即使是內部也不該用內部IP連上該網站,基本上應當連不上去的,因為憑證的核許IP 一定是外部的那個IP,因此NAT得開 Reflection或 Hairpin 或 Loopback ,即使你內部使用內部DNS,該主機也該登記為外部IP,不該登記為內部IP
甚至最好要把這台主機丟進DMZ裡面,避免該主機被攻破內部網路也跟著掛掉

obarisk iT邦研究生 1 級 ‧ 2023-07-15 11:14:04 檢舉

樓上錯誤

憑證不看 ip,看域名才對

我要發表回答

立即登入回答