我一台fortinet要跨網段路由?我的wan1port 192.168.1.100/24 mgntPort 192.168.2.99/24
我想要讓這兩個不同的網段子網互ping ,我設定的靜態路由有192.168.1.0/24 介面wan1 gateway192.168.1.101 另一段路由192.168.2.0/24 gateway 192.168.2.254 ,
介面mgnt 防火牆政策是mgnt to wan1 服務全開全放行
但是兩邊子網仍不通,是否有什麼沒注意到的還請指教萬分感謝。
已邀請的邦友 {{ invite_list.length }}/5
應該不用任何靜態路由
你WAN到MGMT的POLICY有設?
MGMT的DEDICATE MGT PORT停用下
因為樓主說了是在練習
所以有一些歡念不清楚也難免
在下先說一下看到的狀況希望樓主別介意
首先有關MGMT介面的類型顯示為"硬體交換器"
這很明顯就是做了不要的更動設定
正常應該是"Physical 介面"跟要不要接交換器無關
其次,路由設定是為了讓不同網段交流
所以靜態路由設定有錯誤
而FGT在跨界面到另一介面之間無需設路由
這個稱為直接存取
除非另外有設到政策路由破壞了原本的路由規則
最後是防火牆政策
介面與介面之間除非是上Internet的政策
不然一般不需要做NAT(勾選)
就算SSL-VPN撥進來的政策都不需要
蠻多人都有這種不小心勾到的現象
特別提醒一下
初學者來學習Fortigate不要太擔心
畫面右邊或右上角有文件的線上說明
在一般連線使用設定會有相當助益
至於深入的資安及存取運用
就需要去上課或有適合的SI來協助
以上是在下的建議
Fortinet很多產品都有做實體MGMT口哦
連FortiSwitch都有專屬MGMT口
報給窮大參考一下
sd3388樓主什麼都沒給,只能猜 ...
但就算給實體MGMT口,它的作用也不是拿來作 VLAN 的或是作路由的
否則在介面設定那一頁就會把 MGMT 拉到介面那個區段
MGMT 是管理接口,不管實體也好,內埠也好,他都不該開給其他的網段存取的
這台防火牆顯然有 四各NIC,這四個當然可以設四個網段,然後讓他們互通
只是樓主有些觀念搞錯了,建議是在把網路概論念一遍,對基礎架構會比較清楚
再來談怎麼讓兩個網段互通
窮大說得一點都沒錯
我公司決不會把MGMT拿來用做access
因這是mytiny大佬的回應的地方
我插花不敢說太多
只是好奇tadtw大大你家的SI躲哪裡去了
該不會又一個Forti孤兒吧?
我說明一下路由
路由跟路標一樣,為了讓這台設備知道不明網段要往那裡走
以版大的例子:
192.168.1.0/24在自己身上
192.168.2.0/24在自己身上
如果版大有玩cisco設備就會知道,在自己身上的網段,cisco設備會自動加4個路由
c 192.168.1.0/24 is connect
c 192.168.1.100/32 is connect
c 192.168.2.0/24 is connect
c 192.168.2.101/32 is connect
forti設備也是一樣,所以在forti這台設備上不需設任何路由
版大如果要讓192.168.1.0/24網段的電腦與192.168.2.0/24網段的電腦要通
192.168.1.0/24網段的電腦要這樣設
192.168.1.10 255.255.255.0 GW:192.168.1.100
192.168.2.0/24網段的電腦要這樣設
192.168.2.10 255.255.255.0 GW:192.168.2.101
最後就是設防火牆規則
選by interface設規則
mgmt to wan1的規則
source int mgmt
dest int wan1
source ip 192.168.2.0/24
dest ip 192.168.1.0/24
service icmp
wan1 to mgmt的規則
source int wan1
dest int mgmt
source int wan1
dest int mgmt
source ip 192.168.1.0/24
dest ip 192.168.2.0/24
service icmp
再試看看吧~
如果想玩路由,建議用GNS3模擬器用3台路由器
192.168.1.0/24<--R1->192.168.3.0/24<--R2-->192.168.4.0/24<--R3-->192.168.2.0/24
iThome鐵人賽
看影片追技術