port-forwading到遠程網段

nat port-forwarding cisco firewall

I.T. Wang 2025-09-03 20:49:02 ‧ 2534 瀏覽

分享至

請問大大們有沒有做過port-forwading到遠程網段? 不是轉進本地而已喔。
如果wiki搜尋名詞port-forwarding，理論上應該可以支援轉進遠程網段才對，但是我在生產環境測試不行，
為此我在eve模擬生產環境，需求是從公網輸入R1 dialer IP:8001可以轉給http1、R1 dialer IP:8002轉給http2。
然而我轉給http2遇到異常，我目前想到的測試如截圖...
從R1 ping 10.2.2.1(http2)有通、R1 trace追路http2也符合我的預期，所以L3路由沒問題，從R1 dialer IP:8002網頁異常，這就是我遇到的問題、檢查R1 NAT session也有record。
我目前觀點似乎連線在R1 NAT後發生異常?

然後我將cisco R1、R2都換fortigate VM 6.4，我甚至將firewall當router用(policy全開)，結果相同，從FW1 public IP:8002還是轉不進去。
至於為什麼不從R2 / FW2 port-forwading轉給http2?
因為生產環境基於某些管理原因，R2 / FW2的廠無法固定ip、DDNS，而R1 / FW1的廠可以固定ip。
以上請益先謝過!

登入發表討論

熱門推薦

{{ item.channelVendor }} | {{ item.webinarstarted }} |

直播中

1 個回答

林門神JanusLin

iT邦超人 1 級 ‧ 2025-09-04 08:09:59

最佳解答

我是用 Vigor Router Firewall 路由器防火牆達成
兩端要先建立 VPN

作法

這樣設定之後

手機不需要再撥接一次VPN到公司
手機直接看 http://59.125.9.x:8081
就代表連接到 192.168.1.10:8081 了

回應 3
分享
檢舉

I.T. Wang iT邦研究生 4 級 ‧ 2025-09-04 19:54:19 檢舉

感謝提供其他型號供參考!

I.T. Wang iT邦研究生 4 級 ‧ 2025-09-04 21:49:34 檢舉

結果自問自答...root cause是去回不同路。
也就是說公網用戶的去包路徑是公網-R1-R2-HTTP2，回包是HTTP2-R2-公網。
於是我在R2做PBR策略路由
ip access-list extended HTTP2
permit tcp host 10.2.2.1 eq 80 any
!
route-map HTTP2 permit 10
match ip address HTTP2
set ip next-hop 192.168.12.1
!
route-map HTTP2 permit 20
!
interface FastEthernet1/0
ip policy route-map HTTP2

解! http:R1-dialer-ip:8002通了。