PTT職涯區 / MIS (IT資訊人員)

[請益] FortiGate 的 route 功能設定

看板MIS (IT資訊人員)作者 (離自相空她相)時間5年前 (2019/05/30 15:45), 5年前編輯推噓10(100145)
留言155則, 13人參與, 5年前最新討論串1/1
想請問一個問題. 我要擺一台 fg 的防火牆在機房.然後有很難搞的需求. 1.它是 nat mode,但必須是它自己 public ip 網段的 gateway, (lan 192.168.x.0/24, wan 1.2.3.4/28) 2.它必須有另一個 wan ip,並設定一個 gateway,以真正連上網路 (wan 2.3.4.6/30 gateway 2.3.4.5) 這 fg 能做嗎?該怎麼設? -- 讀者審校網試行版(2018/1/1 更新網址) http://readerreviewnet.processoroverload.net/ (哲、史、法、政、經、社,人文翻譯書籍錯譯提報網) ◎洪蘭"毀人不倦"舉報專區 http://tinyurl.com/ybfmzwne 讀者需自救,有錯自己改... --
05/30 17:18, 5年前 , 1F
用兩個WANport沒問題啊,default route只留一條就好
05/30 17:18, 1F
05/30 17:18, 5年前 , 2F
2辦得到,固定制要設定IP和Gateway才能正常對外
05/30 17:18, 2F
05/30 17:19, 5年前 , 3F
1.2.3.4/28網段的其他主機把default route指向forti就好
05/30 17:19, 3F
05/30 17:20, 5年前 , 4F
問題是有public IP通常要走出去吧?到底1.2.3.4有沒有要
05/30 17:20, 4F
05/30 17:20, 5年前 , 5F
出去internet?前面的敘述讓人搞不太懂
05/30 17:20, 5F
05/30 17:21, 5年前 , 6F
而且老實說,forti自己要當gateway也可以兩個WAN都有
05/30 17:21, 6F
05/30 17:22, 5年前 , 7F
default route,dual WAN LB不是Forti 的基本功能?
05/30 17:22, 7F
05/30 17:29, 5年前 , 8F
簡單說,就是 1 的 ip 必須透過 2 才能正常連上網
05/30 17:29, 8F
05/30 17:30, 5年前 , 9F
簡單描述就是,它是一種路由方式, 1 的 IP 透過 2 轉發
05/30 17:30, 9F
05/30 17:30, 5年前 , 10F
fg 必須要是 1 網段的 gw,同時也必須設上 2 的 ip
05/30 17:30, 10F
05/30 17:31, 5年前 , 11F
那重點就不是forti怎麼設定了,而是1.2.3.4網段的其他
05/30 17:31, 11F
05/30 17:32, 5年前 , 12F
主機把default指向forti就可以
05/30 17:32, 12F
05/30 17:32, 5年前 , 13F
將 2 的 gateway 做為進出的 route
05/30 17:32, 13F
05/30 17:34, 5年前 , 14F
但它是 nat mode,只能把 1 的 ip 與 lan 做 ipmapping
05/30 17:34, 14F
05/30 17:35, 5年前 , 15F
CLI應該可以做更細的NAT設定
05/30 17:35, 15F
05/30 17:35, 5年前 , 16F
我要問的是,可以怎麼同時設上 1&2 的 ip 而走 2 的 gw
05/30 17:35, 16F
05/30 17:36, 5年前 , 17F
讓 1 的 IP 可以經由這台 FG 正常連外
05/30 17:36, 17F
05/30 17:36, 5年前 , 18F
如果WAN to WAN port的NAT真的不允許,你可以把1.網段
05/30 17:36, 18F
05/30 17:36, 5年前 , 19F
接到LAN portXD
05/30 17:36, 19F
05/30 17:37, 5年前 , 20F
我已經說了,它是 NAT MODE,它的 lan 是 192 網段了啊.
05/30 17:37, 20F
05/30 17:37, 5年前 , 21F
1 的 pub ip 是透過 ip mapping 跟 lan 的 192 對映.
05/30 17:37, 21F
05/30 17:39, 5年前 , 22F
ISP 2345要把1234這段往你的2346丟
05/30 17:39, 22F
05/30 17:39, 5年前 , 23F
LAN port不一定只能用192網段,也可以多設定VLAN用1網段
05/30 17:39, 23F
05/30 17:39, 5年前 , 24F
你把 1 的 ip 設在 lan,那不就是 pub ip 變成 private
05/30 17:39, 24F
05/30 17:39, 5年前 , 25F
你設備的d/g還是2345但是要做source nat 1234這段
05/30 17:39, 25F
05/30 17:40, 5年前 , 26F
那外面怎麼看的到?
05/30 17:40, 26F
05/30 17:40, 5年前 , 27F
再來,NAT做做1網段轉2網段,看你要PAT還是1:1NAT
05/30 17:40, 27F
05/30 17:41, 5年前 , 28F
從2網段出internet的話,NAT當然要source要轉成2的吧...
05/30 17:41, 28F
05/30 17:41, 5年前 , 29F
嗯...source nat 嗎?我來想想看...
05/30 17:41, 29F
05/30 17:42, 5年前 , 30F
你就不從1網段出internet了,Forti上面就不用NAT轉成1網
05/30 17:42, 30F
05/30 17:43, 5年前 , 31F
我覺得你還是用小畫家畫張圖吧,我覺得上面討論
05/30 17:43, 31F
05/30 17:43, 5年前 , 32F
的東西不大一樣 XDDDDDDD
05/30 17:43, 32F
05/30 17:43, 5年前 , 33F
段的IP了,1網段其他IP(不管router或防火牆)後面有其他
05/30 17:43, 33F
05/30 17:44, 5年前 , 34F
網段的話,就要在那些設備自己做NAT
05/30 17:44, 34F
05/30 17:45, 5年前 , 35F
老實說撇除1網段是publicIP,這不就是跟內網多個網段
05/30 17:45, 35F
05/30 17:45, 5年前 , 36F
要從防火牆出internet一樣意思嗎?
05/30 17:45, 36F
05/30 17:46, 5年前 , 37F
所以我才會說你乾脆就把1網段做在LAN port就好
05/30 17:46, 37F
05/30 17:47, 5年前 , 38F
如果1網段後面有其他privateIP要NAT,你就累死自己而已
05/30 17:47, 38F
05/30 17:50, 5年前 , 39F
05/30 17:50, 39F
還有 76 則推文
還有 2 段內文
06/02 12:41, 5年前 , 116F
Hi,禮拜天多讀點書吧,怎麼設定看看手冊吧
06/02 12:41, 116F
06/02 12:42, 5年前 , 117F
做過的人都知道怎麼做了,但是講了你也不信也沒辦法
06/02 12:42, 117F
06/02 12:43, 5年前 , 118F
還陷在public IP一定要一個網段一個gateway的迷霧裡
06/02 12:43, 118F
06/02 12:43, 5年前 , 119F
那就自己慢慢繞吧
06/02 12:43, 119F
06/02 12:46, 5年前 , 120F
真的有時間壓力就找賣你們的廠商協助也行
06/02 12:46, 120F
06/02 14:50, 5年前 , 121F
樓上多多了解user site的架構吧,這案例應該是user擁有
06/02 14:50, 121F
06/02 14:50, 5年前 , 122F
自己的public ip,上游提供另一段public ip做路由介接,
06/02 14:50, 122F
06/02 14:50, 5年前 , 123F
這在IDC業務叫routing mode供裝
06/02 14:50, 123F
06/02 16:04, 5年前 , 124F
是啊,大家都知道是routing mode供裝,那請問1網段一定
06/02 16:04, 124F
06/02 16:04, 5年前 , 125F
要"弄一個gateway"才能讓連到internet嗎?
06/02 16:04, 125F
06/02 16:06, 5年前 , 126F
前面很多人都講過,GW指給2網段就好不是?
06/02 16:06, 126F
06/02 16:07, 5年前 , 127F
1.防火牆自己當1網段gatwway 2.防火牆把1網段拿來做NAT
06/02 16:07, 127F
06/02 16:08, 5年前 , 128F
很難懂?
06/02 16:08, 128F
06/02 16:09, 5年前 , 129F
就看架構兩種做法選一個來做就好了不是嗎?
06/02 16:09, 129F
06/02 16:39, 5年前 , 130F
我就是在問怎麼同時是 1 的 gw 又是 2 的 ip 啊大哥..
06/02 16:39, 130F
06/02 17:05, 5年前 , 131F
一開始不就回答了,找一個port設定1.2.3.4/28另一port
06/02 17:05, 131F
06/02 17:10, 5年前 , 132F
設定2.3.4.6
06/02 17:10, 132F
06/02 17:13, 5年前 , 133F
重點是2網段的ISP要把1網段GW指向你的2.3.4.6
06/02 17:13, 133F
06/02 17:17, 5年前 , 134F
2.3.4.5上面要有1.2.3.0/28 2.3.4.6這一筆route
06/02 17:17, 134F
06/02 17:26, 5年前 , 135F
只要外面網路有辦法透過ISP把1.2.3.0/28送到你的Forti
06/02 17:26, 135F
06/02 17:28, 5年前 , 136F
在Forti上面不管是要設定一個port用1.2.3.0/28網段
06/02 17:28, 136F
06/02 17:28, 5年前 , 137F
還是把1.2.3.0/28拿來純做NAT映射到內部網路都可以
06/02 17:28, 137F
06/02 17:29, 5年前 , 138F
你一直在講的"外面看不到",就是ISP看有沒有路由指回來
06/02 17:29, 138F
06/02 17:30, 5年前 , 139F
不知道你在糾結甚麼就是XD
06/02 17:30, 139F
06/05 10:34, 5年前 , 140F
打岔一下,請教這種架構英文的專業術語是啥?
06/05 10:34, 140F
06/05 13:01, 5年前 , 141F
上面就有說了啊, routing mode
06/05 13:01, 141F
06/05 20:53, 5年前 , 142F
routing mode泛指的東西太多了吧... = =
06/05 20:53, 142F
06/05 21:30, 5年前 , 143F
就像光世代就是 bridge mode 一樣,還能多狹窄?
06/05 21:30, 143F
06/05 21:32, 5年前 , 144F
就是一種網路連接方式啊...
06/05 21:32, 144F
06/06 10:31, 5年前 , 145F
ip是ip、lan是lan,看過一堆把public ip當lan在用,還用
06/06 10:31, 145F
06/06 10:31, 5年前 , 146F
的爽爽的
06/06 10:31, 146F
06/06 10:33, 5年前 , 147F
isp固定ip也只是在subscriber上綁ip而已...
06/06 10:33, 147F
06/06 10:36, 5年前 , 148F
光世代要說的複雜一點就是vll(last mile)+ subscriber(
06/06 10:36, 148F
06/06 10:36, 5年前 , 149F
bras) + aaa(radius)
06/06 10:36, 149F
06/06 10:37, 5年前 , 150F
至於vll要改叫e-line或vc,隨你高興XD
06/06 10:37, 150F
06/06 12:14, 5年前 , 151F
你 public ip 多就可以拿來當 lan 用啊...
06/06 12:14, 151F
06/06 16:38, 5年前 , 152F
你很勇敢就以用Public 拿來當 lan 用啊...
06/06 16:38, 152F
06/07 05:05, 5年前 , 153F
我要是隨便都有 class c 以上可以用才能任性啊...
06/07 05:05, 153F
06/07 14:16, 5年前 , 154F
我自已就有4個Class C,勇敢申請下去吧
06/07 14:16, 154F
06/08 00:15, 5年前 , 155F
我很窮,租不起...
06/08 00:15, 155F
更多 freeunixer 的文章
文章代碼(AID): #1SxueoHb (MIS)
MIS 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 freeunixer 的文章
文章代碼(AID): #1SxueoHb (MIS)