iT邦幫忙

1

請問fortigate 70F 雙WAN設定問題

fortigate
heason89 2025-03-06 17:09:001601 瀏覽

  • 分享至 

  • xImage

最近公司跟中華電信額外購買另一條對外固定IP
目前環境如下:
WAN1-61.218.145.X 網速16M
WAN2-60.249.21.X 網速300M
internal-192.168.1.1
mail-server 192.168.1.250
靜態路由如下圖
https://ithelp.ithome.com.tw/upload/images/20250306/20170548OFnhVLNo9z.jpg
目前是希望mail-server 走wan1 單獨出去,其他IP走WAN2出去
目前政策如下圖
https://ithelp.ithome.com.tw/upload/images/20250306/20170548d6iG6NiQ3f.jpg
wan2外網的政策原本是調成1-249、251-254走wan2出去,但由於不通我才改成現在的ALL
目前遇到的問題是如果我將wan1外網政策停用掉,會連不出外網,
也有試過連不出去時,外部的電腦是能ping的到wan2的IP,
想請問雙wan是有什麼額外要設定調整才能用的嗎,還是我哪裡設定有誤?

看更多先前的討論...收起先前的討論...
bluegrass iT邦高手 1 級 ‧ 2025-03-06 17:33:32 檢舉
說起來, 之前你問的兩個問題都沒有回覆其他大大有沒更新
這樣別人很難幫你解決問題喔^_^
heason89 iT邦新手 5 級 ‧ 2025-03-06 18:14:02 檢舉
防火牆互通的問題,相對比較舊的那台防火牆公司決定報廢不用,目前就只剩一台70F,目前是用第二IP給mailserver自己用
mytiny iT邦超人 1 級 ‧ 2025-03-07 09:51:10 檢舉
都已經購買新的防火牆,也已知需求要做多WAN架構
如果明明就不會Fortigate,也不懂如何找技術資料
就應該讓讓販售的廠商做好架構再驗收
還是樓主覺得技術不值錢,IT幫幫忙可以找到免費的
請不要濫用大家的善意只想做伸手牌
竹本立里 iT邦好手 1 級 ‧ 2025-03-07 10:49:17 檢舉
說起來, 之前你問的兩個問題都沒有回覆其他大大有沒更新
這樣別人很難幫你解決問題喔^_^
+1
快樂吉娃娃 iT邦新手 5 級 ‧ 2025-03-07 16:16:31 檢舉
IP外露了兄弟
bluegrass iT邦高手 1 級 ‧ 2025-03-07 16:24:02 檢舉
沒外露, 也沒露出, 那是ISP的GATEWAY.
登入發表討論
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

5 個回答

0
bluegrass
iT邦高手 1 級 ‧ 2025-03-06 17:26:52

你應該啟用SDWAN, 再把SDWAN RULE決定什麼源/目的地用那一根上網線

看更多先前的回應...收起先前的回應...
bluegrass iT邦高手 1 級 ‧ 2025-03-06 17:29:51 檢舉

https://www.youtube.com/watch?v=uzyVajI2c7w

望空 iT邦研究生 5 級 ‧ 2025-03-06 17:38:52 檢舉

可以不用SDWAN,但變成用政策路由的狀況下,一筆一筆都要寫清楚,不然沒有在政策上的流量還是會走default

bluegrass iT邦高手 1 級 ‧ 2025-03-07 09:29:11 檢舉

看真一點, 他沒有政策路由, 只有放行政策而已.
反正都沒有就搞SDWAN吧

heason89 iT邦新手 5 級 ‧ 2025-03-07 15:49:00 檢舉

了解,我再去了解一下SDWAN

登入發表回應
0
rb1102
iT邦研究生 1 級 ‧ 2025-03-06 22:00:01

一律建議改用SDWAN,政策路由太不靈活了

用整合型介面換過去SDWAN Zone非常方便

無敵舔金剛 iT邦新手 5 級 ‧ 2025-03-24 13:53:22 檢舉

小弟有幾個觀念分享
SD WAN主要是有負載平衡,或是特定大量封包連線的需求下再去設定。

防火牆政策停用不會影響靜態路由,如果有兩條WAN,要指定某台主機只走哪條WAN連線,可以透過Policy route設定。

兩條WAN兩個defaule route可以設相同的Administrative Distance,然後設不同的Priority,數字低的會優先使用。

設定Link moniter,監控主要線路,比如說每5秒ping一次8.8.8.8,5次ping不到就切換路由到Priority高的WAN。

登入發表回應
0
YYStudio
iT邦新手 5 級 ‧ 2025-03-07 08:57:40

我認為你應該是設定 SD-WAN
然後在 SD-WAM 的優先等級規則中
再額外填加規則來指定你的服務跟介面

登入發表回應
0
snoopy
iT邦新手 4 級 ‧ 2025-03-07 17:56:40

我不清楚我的做法是不是對的,但你可以參考
有兩個0.0.0.0的預設路由,防火牆怎麼知道哪一條才是預設路由(一般應該是WAN1)
所以我是透過路由的Advanced Options中的Priority來設定
你希望其他的走WAN2出去,就將Priority設為1,WAN1則設大於1(我是設最大值),這樣預設就會走WAN2出去
MAIL Server則是透過Policy Route,將來源是Mail Server的封包,全部導向WAN1
這樣應該就可以使用了

bluegrass iT邦高手 1 級 ‧ 2025-03-11 08:56:37 檢舉

你這樣一來, MAIL Server要抓內部IP/SERVER也會導向WAN1, 只能是部份正確.

應該要兩條Policy Routes, 一條最優先是到內部IP/SERVER時候停用PBR

第二條才是來源是Mail Server的封包,全部導向WAN1

bluegrass iT邦高手 1 級 ‧ 2025-03-11 08:57:30 檢舉

改用SDWAN,就沒你要處理抓內部IP/SERVER問題了

登入發表回應
0
IT 癡
iT邦高手 1 級 ‧ 2025-03-15 10:31:34
  1. 找當初設備購買商或現在的 SI 來幫你設定,對方工程師專業更多,也順便學正規設定,反正維護費都付了,你幹嘛要自己搞,吃力不討好
  2. 如果沒有簽維護約,上原廠下載 70F 規格與設定檔徹底研究,不要只吃半碗飯的一知半解
登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22215
完賽人數
600
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙