iT邦幫忙

0

[已解決]Fortigate當IP分享器遇到轉發埠問題

  • 分享至 

  • xImage

先描述一下,我是用FortiGate60E的機型FortiOS v5.6.0,設定是WAN1連接HIENT小烏龜,之後開PPPOE連線,LAN部份則是直接用原預設internal設定為192.168.1.1/255.255.255.0
之後進行VirtualIP設置,目的是讓外網能夠連到內網192.168.1.2這台服務器,再透過policy設置內對外跟外對內限制,但怎麼設都沒辦法順利轉發成功,我把目前硬體實體接法畫在底下小圖中:
https://ithelp.ithome.com.tw/upload/images/20230922/20141954QjULrbgLfA.jpg
Virtual IP則是包成群組
https://ithelp.ithome.com.tw/upload/images/20230922/20141954KWlfheAyQE.jpg

之後再設定到Policy畫面如下:
https://ithelp.ithome.com.tw/upload/images/20230922/20141954Py11F7eBmy.jpg

不曉得哪邊出錯,還請大大們指點,感謝~~

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

1
bluegrass
iT邦高手 1 級 ‧ 2023-09-22 09:28:53
最佳解答

你好, 首先, 先不說VIP, 來個最基本的測試

你在WAN1口啟用HTTPS ACCESS, HTTPS ADMIN口改成10443
再在你手機 SIM 的 5G/4G網 試試 https://WAN1 IP:10443

能不能看到防火牆的登入畫面

https://ithelp.ithome.com.tw/upload/images/20230922/20102031z9yQnXSop8.pnghttps://ithelp.ithome.com.tw/upload/images/20230922/20102031JJvXjuRqEl.png

如果成功能抓, 證明你防火牆沒在NAT之後, 可以繼續
如果沒能抓, 猜你是NAT之後. 得在上層ROUTER設定DMZ指向你WAN的IP

能抓之後, 你現在VIP的設定看是沒問題

VIP的WAN口設0.0.0.0是沒問題的.
對FORTIGATE有基本認知的工程師都知道
在一些WAN IP會改變的環境下
比如PPPOE, DHCP
你VIP OBJECT難道ISP每變一次WAN IP, 你又去改一次?

0.0.0.0的意義在於自動跟隨指定WAN口的IP
所以VIP OBJECT的INTERFACE有點撰WAN1就可以了

老子家的SERVER就是PPPOE的, 就是0.0.0.0的
https://ithelp.ithome.com.tw/upload/images/20230922/20102031OymZoTYgyL.png

如果還是不通, POLIC中的NAT可以啟用一下試試

https://ithelp.ithome.com.tw/upload/images/20230922/20102031iC2CoZE31k.png

可能是你WINDOWS防火牆把TRAFFIC擋了
啟用POLIC中NAT的功能可以把源IP改成192.168.1.1身份
再去抓你SERVER, 如果這樣能通, 就是WINDOWS防火牆問題了

測試了一下最上面的實驗外網可通到fortigate設定頁面沒問題,看來比較大可能是內部軟體防火牆擋了,我再檢查看看我的NOD32看是不是這層被擋住,感謝你的解析~~

sd3388 iT邦好手 1 級 ‧ 2023-09-22 13:07:37 檢舉

高手

耶!馬上有結果了,真的是軟體防火牆擋住的關係,難怪我看了fortiview的sessions明明有連線訊息但都只有幾B的流量,目前都搞定囉~~感謝你

0
mathewkl
iT邦高手 1 級 ‧ 2023-09-22 09:10:16

Virtual IP的A to B
A是外部IP (WAN1)
B是內部IP (LAN)

0.0.0.0不是一個有效的Public IP也不是WAN1涵蓋到的IP所以不管怎樣都不會轉成功的
然後Source不要ALL,Security Profiles要設,不能只是限Port
公開主機全球裸奔不是一件很好的事情,不到半天就會有惡意IP來敲門試看看漏洞了

不過60E還在用5.6.0也太舊了,Forti一些重大漏洞已經被駭客開採利用了

只要interface設為WAN是可以用0.0.0.0去轉才對;等能通了之後會再把安全性設嚴謹一點的,感謝你的建議~~

我要發表回答

立即登入回答