iT邦幫忙

4

Fortigate FG-81F防火牆雙WAN設定問題

  • 分享至 

  • xImage

各位大神好,有關於Fortigate FG-81F防火牆雙WAN設定問題想請教:

  1. 防火牆:Fortigate FG-81F
  2. 版本:v7.4.8
  3. 網路架構如下圖:
    https://ithelp.ithome.com.tw/upload/images/20250728/20107444ob2V7x4bu9.png
  4. 請問有哪些設定方式可以將MPLS VPN配的四組IP指定給四台刷卡機?
  5. 沒有要做負載平衡的話需要設定SD-WAN嗎? SD-WAN Rules該怎麼設定? 還是設定政策路由 (policy routes)?
  6. 目前想到的設定方式是建立VIP(Virtual IP):
    映射自MPLS VPN IP:10.133.6.100 -> 對應VLAN IP:192.168.10.2
    映射自MPLS VPN IP:10.133.6.101 -> 對應VLAN IP:192.168.20.2
    映射自MPLS VPN IP:10.133.6.102 -> 對應VLAN IP:192.168.30.2
    映射自MPLS VPN IP:10.133.6.103 -> 對應VLAN IP:192.168.40.2
    然後設定對內與對外的防火牆政策:
    WAN2 -> 刷卡機
    刷卡機 -> WAN2
  7. 請問這樣設定可行嗎? 還是有更好的解決方案?
mathewkl iT邦高手 1 級 ‧ 2025-07-29 12:39:10 檢舉
問總部,MPLS另外一端應該是接上不對外的打卡系統,上網能力應該是零,那這條納入SDWAN就會出現被分去這條的使用者會無法上網,該分開還是要分開,不是什麼都無腦納進去SDWAN
小火車 iT邦新手 3 級 ‧ 2025-07-29 13:55:16 檢舉
感謝大大回覆,對的,這條MPLS VPN專線無上網能力,我也再想應該不適用於SD-WAN,請問這樣的狀況下是不是只能設定政策路由這個方法?
mathewkl iT邦高手 1 級 ‧ 2025-07-30 10:35:54 檢舉
要強制走這個port出去就必須設定路由
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
4shiun
iT邦新手 3 級 ‧ 2025-07-28 16:46:45
最佳解答

不打掉重用 SD-WAN 的話,設政策路由也是可以。
內對外:

先設定讓內網都能互通
進入介面 lan
離開介面 空 (不套用政策路由)
來源 192.168.0.0/16
目的 192.168.0.0/16
閘道 0.0.0.0

設定刷卡機只能從wan2出去
進入介面 lan
離開介面 wan2
來源 刷卡機IP
目的 0.0.0.0/0
閘道 wan2 gateway

再設定其他lan可以wan1上網
進入介面 lan
離開介面 wan1
來源 192.168.0.0/16
目的 0.0.0.0/0
閘道 wan1 gateway (pppoe 0.0.0.0)

刷卡機再設policy和對應的wan2 IP資源池。

外對內:
就是你設定的VIP,再設定policy就可以了。

小火車 iT邦新手 3 級 ‧ 2025-07-29 13:55:51 檢舉

感謝大大的回覆,我再去確認一下設定的方式

4shiun iT邦新手 3 級 ‧ 2025-07-29 16:06:20 檢舉

如果是 MPLS-VPN ,接到 FortiGate 81F 的 LAN port 就好了。
都已經是封閉網路了,而且也是1對1的網路對應。
將這一個 MPLS-VPN 的 LAN port 再新增一個介面,
一樣設定VIP和 policy

0
mytiny
iT邦超人 1 級 ‧ 2025-07-29 00:29:33

將MPLS VPN配的四組IP指定給四台刷卡機?
用第6點

建議用SD-WAN,取代政策路由
設定很簡單,來源IP指定出去的介面即可
可以上網找資料,或如下方建議

公司MIS不可能樣樣精通
建議找銷售的SI公司來實施技術設定與維護
當然有些SI公司售後即不理
也可能是貴公司未提供相等的技術費用
這些在採購設備時就該先做好評估

其實,Fortigate的SD-WAN設定並不困難
只是有些FGT相關知識需要具備
這裡有些大神或許會多給一些指點
不過建議要不自己K手冊(學到就自己的)
要不就讓公司花錢省功夫(可指定達到預期效果)

小火車 iT邦新手 3 級 ‧ 2025-07-29 13:57:35 檢舉

了解,謝謝大大的回覆,我再詢問看有沒有技術支援

mytiny iT邦超人 1 級 ‧ 2025-07-30 10:25:32 檢舉

如果版大有成功設定完成
希望回饋一下結果

0
bluegrass
iT邦高手 1 級 ‧ 2025-07-29 10:38:48

先等等-.- 別急搞SDWAN/POLICY ROUTE.

你MPLS VPN是真有能接上互聯網能力的ISP線路? 還是單純只給幾個地方內網互通的專線?

小火車 iT邦新手 3 級 ‧ 2025-07-29 13:58:28 檢舉

回覆大大,這條MPLS VPN專線無上網能力,請問這樣的狀況下是不是只能設定政策路由這個方法?

bluegrass iT邦高手 1 級 ‧ 2025-07-29 14:07:17 檢舉

還不是, 得看你目的地, 可能普通的STATIC ROUTE也可以

0
蓋斯克
iT邦新手 4 級 ‧ 2025-07-30 00:13:21

整體概念

您的目標是將四台刷卡機(內部私有 IP)分別對應到四個由 MPLS VPN 提供的固定 IP(10.133.6.100 ~ 10.103.6.103)。這需要處理兩個方向的流量:

  1. 外部到內部 (Inbound): 當外部系統(例如:銀行的清算中心)要存取刷卡機時,它會連線到 10.133.6.100 這類的公開 IP。防火牆需要將這個請求正確地轉發到內部的刷卡機(例如 192.168.10.x)。這部分就由 Virtual IP (VIP) 來完成。
  2. 內部到外部 (Outbound): 當刷卡機主動對外發送交易資料時,它送出的封包來源 IP 必須是指定的公開 IP(例如 10.133.6.100),而不是防火牆 WAN2 介面的主要 IP。這部分需要透過 防火牆策略中的 SNAT 並搭配 IP Pool 來實現。

SD-WAN vs. 政策路由 (Policy Routes)

在回答設定步驟前,先釐清這個問題:

  • 沒有要做負載平衡需要設定 SD-WAN 嗎?
    • 建議使用 SD-WAN。 在 FortiOS 7.x 版本中,SD-WAN 已成為管理多 WAN 的標準化、首選方式。即使您沒有複雜的負載平衡需求,使用 SD-WAN 仍有以下好處:
      • 健康檢查 (Health Check): 可以設定 Performance SLA 來監控 MPLS 線路的健康狀況(例如 PING 閘道器),如果線路中斷,可以實現未來可能的自動切換或告警,管理上更可靠。
      • 簡化路由與策略: 所有流量都導向 sd-wan 虛擬介面,防火牆策略的設定會更為一致和簡潔。
      • 可擴展性: 未來若有其他流量需要走特定線路,直接增加一條 SD-WAN Rule 即可,無需修改既有路由。
  • 政策路由 (Policy Routes) 可以嗎?
    • 可以。政策路由是比較傳統的作法,一樣能達到指定流量走特定 WAN 口的目的。但它是一個較為靜態的設定,沒有健康檢查機制。如果 SD-WAN 已啟用,政策路由會優先於 SD-WAN 規則,有時會讓流量路徑變得複雜。

結論: 鑑於您的版本是 v7.4.3,強烈建議使用 SD-WAN 來引導流量。


建議設定步驟

假設四台刷卡機的內部 IP 如下(請根據您的實際情況修改):

  • 刷卡機1: 192.168.10.100
  • 刷卡機2: 192.168.20.100
  • 刷卡機3: 192.168.30.100
  • 刷卡機4: 192.168.40.100

步驟 1:建立位址物件 (Address Objects)

為了方便管理,先為每台刷卡機的內部 IP 建立位址物件。

  • 路徑: Policy & Objects > Addresses
  • 範例 (建立一個):
    • Name: POS_Card_Machine_1
    • Type: Subnet
    • IP/Netmask: 192.168.10.100/32
  • 請為四台刷卡機分別建立物件。

步驟 2:建立 IP Pool (針對 Outbound 流量)

為四個 MPLS VPN IP 分別建立 IP Pool,確保刷卡機出去時能對應到正確的來源 IP。

  • 路徑: Policy & Objects > IP Pools
  • 範例 (建立一個):
    • Name: IPP_Card_Machine_1
    • Type: Overload
    • External IP Range: 10.133.6.100 - 10.133.6.100
  • 請為 10.133.6.10010.133.6.103 四個 IP 分別建立 IP Pool。

步驟 3:建立 Virtual IP (VIP) (針對 Inbound 流量)

這是您提到的部分,設定完全正確。

  • 路徑: Policy & Objects > Virtual IPs
  • 範例 (建立一個):
    • Name: VIP_Card_Machine_1
    • Interface: wan2 (MPLS VPN 所在的介面)
    • External IP Address/Range: 10.133.6.100
    • Mapped IP Address/Range: 192.168.10.100 (刷卡機1的內部IP)
  • 請為四台刷卡機分別建立 VIP。

步驟 4:設定 SD-WAN

  1. 將 WAN 口加入 SD-WAN 成員:
    • 路徑: Network > SD-WAN
    • SD-WAN Members 中,確認 wan1 (ADSL) 和 wan2 (MPLS) 都已加入。
  2. (建議) 建立 Performance SLA:
    • 路徑: Network > SD-WAN > Performance SLA
    • 建立一個 SLA 來監控 wan2 的狀態,例如 PING wan2 的閘道器。
  3. 建立 SD-WAN 規則 (SD-WAN Rules):
    • 路徑: Network > SD-WAN > SD-WAN Rules
    • 為每台刷卡機建立一條規則,強制它們的流量走 wan2
    • 範例 (建立一條規則):
      • Name: Card_Machine_1_to_WAN2
      • Source Address: POS_Card_Machine_1 (步驟1建立的物件)
      • Destination Address: all
      • Outgoing Interface Strategy (Interface Preference):
        • Interface: wan2
    • 為四台刷卡機分別建立規則,確保它們的流量都被導向 wan2

步驟 5:建立防火牆策略 (Firewall Policy)

您需要為每台刷卡機建立兩條策略:一條 Inbound,一條 Outbound。

  • 路徑: Policy & Objects > Firewall Policy

策略 1:刷卡機 Outbound 流量 (刷卡機 -> WAN2)

  • Name: Card_Machine_1_OUT
  • Incoming Interface: VLAN10 的介面
  • Outgoing Interface: sd-wan (虛擬介面)
  • Source: POS_Card_Machine_1 (步驟1建立的物件)
  • Destination: all (如果知道銀行主機位址,可設得更精確)
  • Service: ALL (或刷卡機所需的特定服務埠)
  • NAT: Enable
  • IP Pool Configuration:
    • Use Dynamic IP Pool
    • 選擇 IPP_Card_Machine_1 (步驟2建立的IP Pool)
  • 為四台刷卡機分別建立此 Outbound 策略。

策略 2:刷卡機 Inbound 流量 (WAN2 -> 刷卡機)

  • Name: Card_Machine_1_IN
  • Incoming Interface: wan2
  • Outgoing Interface: VLAN10 的介面
  • Source: all (如果知道銀行主機位址,可設得更精確以策安全)
  • Destination: VIP_Card_Machine_1 (步驟3建立的VIP物件)
  • Service: ALL (或刷卡機所需的特定服務埠)
  • NAT: Disable (因為 VIP 物件本身就在做 DNAT,這裡不需再做 SNAT)
  • 為四台刷卡機分別建立此 Inbound 策略。

總結與最終確認

您提出的 VIP 方案是正確的,但它只解決了 Inbound 的一半問題。完整的解決方案如下:

  1. VIPs: 處理外部連到內部的對應關係 (DNAT)。
  2. IP Pools: 定義刷卡機出去時要偽裝成的來源 IP。
  3. SD-WAN Rules: 強制將特定刷卡機的流量導向 MPLS VPN (wan2)。
  4. Firewall Policies:
    • Outbound Policy: 將刷卡機的流量,通過 sd-wan 介面送出,並啟用 NAT 套用對應的 IP Pool
    • Inbound Policy: 允許來自 wan2、目的地為 VIP 的流量進入到對應的刷卡機,並關閉 NAT

這個架構是最完整、最符合 Fortinet 現代韌體設計邏輯的作法,不僅能達成您的需求,也保有未來管理與監控的彈性。

mytiny iT邦超人 1 級 ‧ 2025-07-30 10:24:13 檢舉

這個AI回答的真不錯
好奇是哪一種?哪一版?來解的這麼詳細

bluegrass iT邦高手 1 級 ‧ 2025-07-30 15:49:44 檢舉

POLICY ROUTE, SDWAN , 策略 2 , VIP 等等已經開始有AI誤區了

政策路由的確是比較傳統的作法,旦有一定程度的健康檢查機制
https://docs.fortinet.com/document/fortigate/7.0.0/new-features/81096/enable-or-disable-updating-policy-routes-when-link-health-monitor-fails-7-0-1

再來因為他MPLS是不能上網, 實在沒有放到SDWAN的必要
除非是多個MPLS ROUTER又沒有BGP/OSPF機制又想要最佳路線

再說用了都應該用新的SDWAN ZONE, 而不是放入本來的上網SDWAN ZONE

策略 1 提到
Outgoing Interface: sd-wan
策略 2 反而用
Incoming Interface: wan2

也是技巧上不太方便檢閱, 策略 2 用新的 sd-wan ZONE就比較好管理了

Inbound VIP 在設定成 MIP 情況下
有關的LAN IP出口到指定MIP對應WAN 口時候
其實是會自動用那個MIP的WAN IP來作為SOURCE IP的
沒有故意去使用IP POOL的必要.
用了IP POOL會有其他不必要的問題

這個AI回答的專業上有待改善, 也不先問客戶那個MPLS能否上網

iT邦應該是專業IT同工互相幫忙的地方
單純用AI回答問題而不多加驗證可不是好事

菜鳥 iT邦新手 5 級 ‧ 2025-08-01 11:17:26 檢舉

認同互助幫忙,現在充斥AI回答也沒驗證思路對不對...

我要發表回答

立即登入回答