伺服器更改IP後無法連接網路

防火牆網路 #dell server 伺服器

puocheng 2024-08-21 10:21:07 ‧ 3349 瀏覽

分享至

原本有一台伺服器直接連到中華電信，因為安全性問題，打算將這台伺服器接到防火牆後。可是，當更改伺服器的IP地址後，這台伺服器就無法連接到網路了。伺服器只能ping到防火牆就出不去了。可是如果拿一台筆電，將筆電的IP更改和伺服器相同的網段，並且連接到防火牆設定要接伺服器的連接埠，筆電是可以連上網的。
基本的架構如下：

防火牆的相關設定如下：
config firewall ippool
edit "60.a.b.c"
set startip 60.a.b.c
set endip 60.a.b.c
next
end

config firewall vip
edit "WEB"
set uuid xxxxxxx
set extip 60.a.b.c
set mappedip "10.1.1.100"
set extintf "any"
next
end

config firewall policy
edit 2
set name "Lan to SD-WAN"
set uuid xxxxxxx
set srcintf "lan"
set dstintf "virtual-wan-link"
set action accept
set srcaddr "all"
set dstaddr "all"
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next
edit 5
set name "DMZ to Hinet"
set uuid xxxxxxx
set srcintf "port5"
set dstintf "virtual-wan-link"
set action accept
set srcaddr "all"
set dstaddr "all"
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
set ippool enable
set poolname "60.a.b.c"
next
edit 8
set name "Hinet to DMZ"
set uuid xxxxxxx
set srcintf "virtual-wan-link"
set dstintf "port5"
set action accept
set srcaddr "all"
set dstaddr "WEB"
set schedule "always"
set service "HTTP" "HTTPS"
set logtraffic all
next
end

config system interface
edit "port5"
set vdom "root"
set ip 10.1.1.1 255.255.255.0
set allowaccess ping
set type physical
set alias "DMZ"
set role dmz
set snmp-index 7
next
edit "a"
set vdom "root"
set ip 60.a.b.d 255.255.255.0
set allowaccess ping
set type physical
set alias "Hinet"
set snmp-index 9
next
edit "b"
set vdom "root"
set mode dhcp
set type physical
set alias "Homeplus"
set snmp-index 10
next
end

config router static
edit 1
set gateway 60.a.b.254
set distance 1
set device "a"
next
edit 2
set distance 100
set device "b"
set dynamic-gateway enable
next
end

config system sdwan
set status enable
set load-balance-mode weight-based
config zone
edit "virtual-wan-link"
next
end
config members
edit 1
set interface "a"
set gateway 60.a.b.254
set weight 255
next
edit 2
set interface "b"
set priority 10
next
end

會是哪邊的設定有問題呢？該如何解決？

看更多先前的討論...收起先前的討論...

by2048 iT邦高手 1 級 ‧ 2024-08-21 12:16:14 檢舉

防火牆政策內對外的部份設了嗎? 看設定好像只有port 5 /lan 出的去
lan 裡面有設幾個port

ming9900 iT邦新手 4 級 ‧ 2024-08-23 09:40:39 檢舉

在經驗中，曾經碰到中華電信機房端，Arp MAC 被咬住，固6IP，用了原先舊的IP，就是不能上網，換另一個IP OK。
但因為外對 Service IP 不能隨意換，後來Call 中華電信轉了好幾個單位，終於找對人，對方說機房有學到2個MAC address ＆IP，其中一個MAC，就是Server 網路卡的MAC。
＝＞這裡說一下，因為Server 經過Firewall，MAC應該要被換成 Firewall 的外部MAC。所以不存在學到2個MAC，因為都只會學到Firewall 的外部MAC。

中華電信的機房人員，後來把MAC 清除，一切就都通了。

bluegrass iT邦高手 1 級 ‧ 2024-08-23 14:22:03 檢舉

其實你應該不用找人, 把數據機/MODEM關了等1小時應該也可以

ming9900 iT邦新手 4 級 ‧ 2024-08-24 19:34:02 檢舉

客戶等不了啊
我是SI 工程師，再搞不定，可能會要退貨了

bluegrass iT邦高手 1 級 ‧ 2024-08-27 16:45:39 檢舉

那你就把FORTIGATE的接口MAC改成跟舊的一樣喔!?

ming9900 iT邦新手 4 級 ‧ 2024-08-28 18:14:47 檢舉

邏輯不是這樣吧～
明明是中華機房 MAC address 咬住，正解是請中華的機房清MAC，而不是改 FortiGate 自已的MAC吧～

再說如果User 有一天又心血來潮，把原設備的Wan 接上中華小烏龜，然後二台設備的 MAC 沖到，那二台可能都時通時不通，這又如何Debug?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

望空

iT邦新手 1 級 ‧ 2024-08-21 10:42:15

設定virtual IP去做port mapping
設定防火牆規則，外網訪問server的service port是通的
若防火牆跟SI廠商買的，請SI廠商協助設定

回應 1
分享
檢舉

望空 iT邦新手 1 級 ‧ 2024-08-21 10:43:00 檢舉

如果是別家防火牆，我會用port forwarding這個字眼，但是...你的是fortinet的，所以應該是叫virtual IP...吧

登入發表回應

BKY

iT邦好手 1 級 ‧ 2024-08-21 11:04:18

1.檢查一下伺服器的網路設定,預設閘道是不是有跳成空白（自己經驗,改完IP按確定關閉之後,預設閘道又自己跳掉,必須再設一次）
2.輸入以下指令
netsh winsock reset，然後按 Enter。
netsh int ip reset，然後按 Enter。
ipconfig /release，然後按 Enter。
ipconfig /renew，然後按 Enter。
ipconfig /flushdns，然後按 Enter。
重置伺服器端的TCP/IP設定,然後重開機
3.將伺服器網路線拔掉,用筆電改成和伺服器一樣的IP,測試看能不能連外網

回應
分享
檢舉

登入發表回應

bluegrass

iT邦高手 1 級 ‧ 2024-08-21 12:12:31

10.1.1.100 的 WINDOWS FIREWALL 要先關了
另確定下GATEWAY要設定成10.1.1.1

指令試試:

config firewall ippool
edit "60.a.b.c"
set startip 60.a.b.c
set endip 60.a.b.c
set associated-interface "a"
next
end

config firewall policy
edit 8
set name "Hinet to DMZ"
set uuid xxxxxxx
set srcintf "virtual-wan-link"
set dstintf "port5"
set action accept
set srcaddr "all"
set dstaddr "WEB"
set schedule "always"
set service "HTTP" "HTTPS"
set nat enable
set logtraffic all
next
end

config system interface
edit "a"
set vdom "root"
set ip 60.a.b.d 255.255.255.0
set allowaccess ping
set type physical
set alias "Hinet"
set snmp-index 9
set secondary-IP enable
config secondaryip
edit 1
set ip 60.a.b.c 255.255.255.255
set allowaccess ping
next
end
next
end

如果能通了再討論 -.-

回應
分享
檢舉

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2024-08-21 18:11:31

這台FG-91G可是所謂的專案機種呀
也就是說這台設備有專屬的SI負責
怎麼能搞成這個樣子呢

看設定就知道工程師觀念一蹋糊塗
有本事搞SD-WAN，又用IP pool
然後FortiLink又拆出a,b port
真的是很想問問哪位高人可以搞成這樣?
沒見過這麼有本事的

如果樓主看不懂在下說的
請先考考SI問問知不知道
然後直接跟SI說
沒有搞好設定能讓公司正常使用
驗收不過，直接退貨退款

豈有買來不能用還要付錢的道理???

回應
分享
檢舉

登入發表回應

oni919

iT邦見習生 ‧ 2024-08-22 04:34:41

感覺設定沒什麼問題

config router static
edit 1
set distance 1
set sdwan-zone "virtual-wan-link"
next

policy 5 做 NAT 不用額外帶 ippool，也就是說不用設定 ippool，
只要有設定 vip 及 policy 8，那麼通過 policy 5 的 10.1.1.100
就能自動帶 60.a.b.c 出去，除非你要讓 10.1.1.100 出去帶同網段其他的
60.a.b.X 才額外設定ippool，但一般很少見到這種需求

dmz同網段筆電可以上網，那就先砍掉 policy 8 及 vip 看看 server 10.1.1.100
能不能上網，應該要可以，因為同網段筆電都能上了，不行的話就要確認 server 網卡
ip/mask/"gw" 設定是否正確。
多做一些測試像是 server 網卡 ip 設定成 10.1.1.100 以外 ip 像筆電測試一樣試試

能上的話再加回 vip (set extintf "a") 及 policy 8 試試從 internet 連線回
60.a.b.c 有沒服務正常