不打掉重用 SD-WAN 的話，設政策路由也是可以。
內對外：

先設定讓內網都能互通
進入介面 lan
離開介面 空 (不套用政策路由)
來源 192.168.0.0/16
目的 192.168.0.0/16
閘道 0.0.0.0

設定刷卡機只能從wan2出去
進入介面 lan
離開介面 wan2
來源 刷卡機IP
目的 0.0.0.0/0
閘道 wan2 gateway

再設定其他lan可以wan1上網
進入介面 lan
離開介面 wan1
來源 192.168.0.0/16
目的 0.0.0.0/0
閘道 wan1 gateway (pppoe 0.0.0.0)

刷卡機再設policy和對應的wan2 IP資源池。

外對內：
就是你設定的VIP，再設定policy就可以了。

將MPLS VPN配的四組IP指定給四台刷卡機?
用第6點

建議用SD-WAN，取代政策路由
設定很簡單，來源IP指定出去的介面即可
可以上網找資料，或如下方建議

公司MIS不可能樣樣精通
建議找銷售的SI公司來實施技術設定與維護
當然有些SI公司售後即不理
也可能是貴公司未提供相等的技術費用
這些在採購設備時就該先做好評估

其實，Fortigate的SD-WAN設定並不困難
只是有些FGT相關知識需要具備
這裡有些大神或許會多給一些指點
不過建議要不自己K手冊(學到就自己的)
要不就讓公司花錢省功夫(可指定達到預期效果)

先等等-.- 別急搞SDWAN/POLICY ROUTE.

你MPLS VPN是真有能接上互聯網能力的ISP線路? 還是單純只給幾個地方內網互通的專線?

整體概念

您的目標是將四台刷卡機（內部私有 IP）分別對應到四個由 MPLS VPN 提供的固定 IP（10.133.6.100 ~ 10.103.6.103）。這需要處理兩個方向的流量：

1. 外部到內部 (Inbound): 當外部系統（例如：銀行的清算中心）要存取刷卡機時，它會連線到 10.133.6.100 這類的公開 IP。防火牆需要將這個請求正確地轉發到內部的刷卡機（例如 192.168.10.x）。這部分就由 Virtual IP (VIP) 來完成。
2. 內部到外部 (Outbound): 當刷卡機主動對外發送交易資料時，它送出的封包來源 IP 必須是指定的公開 IP（例如 10.133.6.100），而不是防火牆 WAN2 介面的主要 IP。這部分需要透過 防火牆策略中的 SNAT 並搭配 IP Pool 來實現。

SD-WAN vs. 政策路由 (Policy Routes)

在回答設定步驟前，先釐清這個問題：

• 沒有要做負載平衡需要設定 SD-WAN 嗎？
  • 建議使用 SD-WAN。 在 FortiOS 7.x 版本中，SD-WAN 已成為管理多 WAN 的標準化、首選方式。即使您沒有複雜的負載平衡需求，使用 SD-WAN 仍有以下好處：
    • 健康檢查 (Health Check): 可以設定 Performance SLA 來監控 MPLS 線路的健康狀況（例如 PING 閘道器），如果線路中斷，可以實現未來可能的自動切換或告警，管理上更可靠。
    • 簡化路由與策略： 所有流量都導向 sd-wan 虛擬介面，防火牆策略的設定會更為一致和簡潔。
    • 可擴展性： 未來若有其他流量需要走特定線路，直接增加一條 SD-WAN Rule 即可，無需修改既有路由。
• 政策路由 (Policy Routes) 可以嗎？
  • 可以。政策路由是比較傳統的作法，一樣能達到指定流量走特定 WAN 口的目的。但它是一個較為靜態的設定，沒有健康檢查機制。如果 SD-WAN 已啟用，政策路由會優先於 SD-WAN 規則，有時會讓流量路徑變得複雜。

結論： 鑑於您的版本是 v7.4.3，強烈建議使用 SD-WAN 來引導流量。

建議設定步驟

假設四台刷卡機的內部 IP 如下（請根據您的實際情況修改）：

• 刷卡機1: 192.168.10.100
• 刷卡機2: 192.168.20.100
• 刷卡機3: 192.168.30.100
• 刷卡機4: 192.168.40.100

步驟 1：建立位址物件 (Address Objects)

為了方便管理，先為每台刷卡機的內部 IP 建立位址物件。

• 路徑: Policy & Objects > Addresses
• 範例 (建立一個):
  • Name: POS_Card_Machine_1
  • Type: Subnet
  • IP/Netmask: 192.168.10.100/32
• 請為四台刷卡機分別建立物件。

步驟 2：建立 IP Pool (針對 Outbound 流量)

為四個 MPLS VPN IP 分別建立 IP Pool，確保刷卡機出去時能對應到正確的來源 IP。

• 路徑: Policy & Objects > IP Pools
• 範例 (建立一個):
  • Name: IPP_Card_Machine_1
  • Type: Overload
  • External IP Range: 10.133.6.100 - 10.133.6.100
• 請為 10.133.6.100 到 10.133.6.103 四個 IP 分別建立 IP Pool。

步驟 3：建立 Virtual IP (VIP) (針對 Inbound 流量)

這是您提到的部分，設定完全正確。

• 路徑: Policy & Objects > Virtual IPs
• 範例 (建立一個):
  • Name: VIP_Card_Machine_1
  • Interface: wan2 (MPLS VPN 所在的介面)
  • External IP Address/Range: 10.133.6.100
  • Mapped IP Address/Range: 192.168.10.100 (刷卡機1的內部IP)
• 請為四台刷卡機分別建立 VIP。

步驟 4：設定 SD-WAN

1. 將 WAN 口加入 SD-WAN 成員:
   • 路徑: Network > SD-WAN
   • 在 SD-WAN Members 中，確認 wan1 (ADSL) 和 wan2 (MPLS) 都已加入。
2. (建議) 建立 Performance SLA:
   • 路徑: Network > SD-WAN > Performance SLA
   • 建立一個 SLA 來監控 wan2 的狀態，例如 PING wan2 的閘道器。
3. 建立 SD-WAN 規則 (SD-WAN Rules):
   • 路徑: Network > SD-WAN > SD-WAN Rules
   • 為每台刷卡機建立一條規則，強制它們的流量走 wan2。
   • 範例 (建立一條規則):
     • Name: Card_Machine_1_to_WAN2
     • Source Address: POS_Card_Machine_1 (步驟1建立的物件)
     • Destination Address: all
     • Outgoing Interface Strategy (Interface Preference):
       • Interface: wan2
   • 為四台刷卡機分別建立規則，確保它們的流量都被導向 wan2。

步驟 5：建立防火牆策略 (Firewall Policy)

您需要為每台刷卡機建立兩條策略：一條 Inbound，一條 Outbound。

• 路徑: Policy & Objects > Firewall Policy

策略 1：刷卡機 Outbound 流量 (刷卡機 -> WAN2)

• Name: Card_Machine_1_OUT
• Incoming Interface: VLAN10 的介面
• Outgoing Interface: sd-wan (虛擬介面)
• Source: POS_Card_Machine_1 (步驟1建立的物件)
• Destination: all (如果知道銀行主機位址，可設得更精確)
• Service: ALL (或刷卡機所需的特定服務埠)
• NAT: Enable
• IP Pool Configuration:
  • Use Dynamic IP Pool
  • 選擇 IPP_Card_Machine_1 (步驟2建立的IP Pool)
• 為四台刷卡機分別建立此 Outbound 策略。

策略 2：刷卡機 Inbound 流量 (WAN2 -> 刷卡機)

• Name: Card_Machine_1_IN
• Incoming Interface: wan2
• Outgoing Interface: VLAN10 的介面
• Source: all (如果知道銀行主機位址，可設得更精確以策安全)
• Destination: VIP_Card_Machine_1 (步驟3建立的VIP物件)
• Service: ALL (或刷卡機所需的特定服務埠)
• NAT: Disable (因為 VIP 物件本身就在做 DNAT，這裡不需再做 SNAT)
• 為四台刷卡機分別建立此 Inbound 策略。

總結與最終確認

您提出的 VIP 方案是正確的，但它只解決了 Inbound 的一半問題。完整的解決方案如下：

1. VIPs: 處理外部連到內部的對應關係 (DNAT)。
2. IP Pools: 定義刷卡機出去時要偽裝成的來源 IP。
3. SD-WAN Rules: 強制將特定刷卡機的流量導向 MPLS VPN (wan2)。
4. Firewall Policies:
   • Outbound Policy: 將刷卡機的流量，通過 sd-wan 介面送出，並啟用 NAT 套用對應的 IP Pool。
   • Inbound Policy: 允許來自 wan2、目的地為 VIP 的流量進入到對應的刷卡機，並關閉 NAT。

這個架構是最完整、最符合 Fortinet 現代韌體設計邏輯的作法，不僅能達成您的需求，也保有未來管理與監控的彈性。