為什麼這篇FortiGate NAT設定鄉民發文收入到精華區:因為在FortiGate NAT設定這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者freeunixer (離自相空她相)看板MIS標題[請益] FortiGate 的 route...
想請問一個問題.
我要擺一台 fg 的防火牆在機房.然後有很難搞的需求.
1.它是 nat mode,但必須是它自己 public ip 網段的 gateway,
(lan 192.168.x.0/24, wan 1.2.3.4/28)
2.它必須有另一個 wan ip,並設定一個 gateway,以真正連上網路
(wan 2.3.4.6/30 gateway 2.3.4.5)
這 fg 能做嗎?該怎麼設?
--
讀者審校網試行版(2018/1/1 更新網址)
http://readerreviewnet.processoroverload.net/
(哲、史、法、政、經、社,人文翻譯書籍錯譯提報網)
◎洪蘭"毀人不倦"舉報專區
http://tinyurl.com/ybfmzwne
讀者需自救,有錯自己改...
--
→ deadwood: 用兩個WANport沒問題啊,default route只留一條就好 05/30 17:18
推 Klauhal: 2辦得到,固定制要設定IP和Gateway才能正常對外 05/30 17:18
→ deadwood: 1.2.3.4/28網段的其他主機把default route指向forti就好 05/30 17:19
→ deadwood: 問題是有public IP通常要走出去吧?到底1.2.3.4有沒有要 05/30 17:20
→ deadwood: 出去internet?前面的敘述讓人搞不太懂 05/30 17:20
→ deadwood: 而且老實說,forti自己要當gateway也可以兩個WAN都有 05/30 17:21
→ deadwood: default route,dual WAN LB不是Forti 的基本功能? 05/30 17:22
→ freeunixer: 簡單說,就是 1 的 ip 必須透過 2 才能正常連上網 05/30 17:29
→ freeunixer: 簡單描述就是,它是一種路由方式, 1 的 IP 透過 2 轉發 05/30 17:30
→ freeunixer: fg 必須要是 1 網段的 gw,同時也必須設上 2 的 ip 05/30 17:30
→ deadwood: 那重點就不是forti怎麼設定了,而是1.2.3.4網段的其他 05/30 17:31
→ deadwood: 主機把default指向forti就可以 05/30 17:32
→ freeunixer: 將 2 的 gateway 做為進出的 route 05/30 17:32
→ freeunixer: 但它是 nat mode,只能把 1 的 ip 與 lan 做 ipmapping 05/30 17:34
→ deadwood: CLI應該可以做更細的NAT設定 05/30 17:35
→ freeunixer: 我要問的是,可以怎麼同時設上 1&2 的 ip 而走 2 的 gw 05/30 17:35
→ freeunixer: 讓 1 的 IP 可以經由這台 FG 正常連外 05/30 17:36
→ deadwood: 如果WAN to WAN port的NAT真的不允許,你可以把1.網段 05/30 17:36
→ deadwood: 接到LAN portXD 05/30 17:36
→ freeunixer: 我已經說了,它是 NAT MODE,它的 lan 是 192 網段了啊. 05/30 17:37
→ freeunixer: 1 的 pub ip 是透過 ip mapping 跟 lan 的 192 對映. 05/30 17:37
推 Wishmaster: ISP 2345要把1234這段往你的2346丟 05/30 17:39
→ deadwood: LAN port不一定只能用192網段,也可以多設定VLAN用1網段 05/30 17:39
→ freeunixer: 你把 1 的 ip 設在 lan,那不就是 pub ip 變成 private 05/30 17:39
→ Wishmaster: 你設備的d/g還是2345但是要做source nat 1234這段 05/30 17:39
→ freeunixer: 那外面怎麼看的到? 05/30 17:40
→ deadwood: 再來,NAT做做1網段轉2網段,看你要PAT還是1:1NAT 05/30 17:40
→ deadwood: 從2網段出internet的話,NAT當然要source要轉成2的吧... 05/30 17:41
→ freeunixer: 嗯...source nat 嗎?我來想想看... 05/30 17:41
→ deadwood: 你就不從1網段出internet了,Forti上面就不用NAT轉成1網 05/30 17:42
推 Wishmaster: 我覺得你還是用小畫家畫張圖吧,我覺得上面討論 05/30 17:43
→ Wishmaster: 的東西不大一樣 XDDDDDDD 05/30 17:43
→ deadwood: 段的IP了,1網段其他IP(不管router或防火牆)後面有其他 05/30 17:43
→ deadwood: 網段的話,就要在那些設備自己做NAT 05/30 17:44
→ deadwood: 老實說撇除1網段是publicIP,這不就是跟內網多個網段 05/30 17:45
→ deadwood: 要從防火牆出internet一樣意思嗎? 05/30 17:45
→ deadwood: 所以我才會說你乾脆就把1網段做在LAN port就好 05/30 17:46
→ deadwood: 如果1網段後面有其他privateIP要NAT,你就累死自己而已 05/30 17:47
→ freeunixer: fg 只有 nat mode 跟 tp mode.你是怎麼 nat mode 在 05/30 17:51
→ freeunixer: 在 LAN 放 public ip? 05/30 17:52
→ freeunixer: 我標題跟內文都講了是 route 功能的問題了. 05/30 17:55
→ deadwood: 我沒在FORTI做過,有空我試試,但是我覺得如果forti真 05/30 17:56
→ deadwood: 這麼白癡,LAN port來Public IP都不能設定,那換一台比 05/30 17:57
→ deadwood: 較快,因為這證明了他無法滿足你的需求 05/30 17:57
→ freeunixer: 你把 fg 當成 switch 用把 1 的 ip 放在 lan 也沒用. 05/30 18:01
→ freeunixer: 因為 1 沒有 GW 可以當 route 啊. 05/30 18:01
→ freeunixer: 是 fg 要當 1 的 gw,同時要有 2 的 ip 往 2 的 gw 丟 05/30 18:02
→ deadwood: "因為 1 沒有 GW 可以當 route 啊"你是說forti自己還是 05/30 18:04
→ deadwood: 1網段的其他IP? 05/30 18:04
→ deadwood: forti自己的話不需要1網段的GW,因為你只會從2出去對吧? 05/30 18:05
→ deadwood: 其他1網段IP的GW就是forti,沒毛病啊 05/30 18:06
→ deadwood: 再來還是要回到NAT的問題,因為不從1出去,就必須forti 05/30 18:09
→ deadwood: 做NAT把1網段轉成2網段,不然1網段IP從2出去會從1回來! 05/30 18:10
→ freeunixer: 簡單說就是 fg 必須是 1 的 gw,然後要走 2 的 gw 出去 05/30 18:10
→ deadwood: 啊我講錯了,你的2網段ISP會不會給你過都不知道.... 05/30 18:11
→ freeunixer: 可以,因為 2 是機房的 l3 path, 1 是給我用的 ip 05/30 18:17
→ freeunixer: 但是 OX 的地方是,因為某些原因,我得自己接上 2 的 gw 05/30 18:20
→ freeunixer: 機房沒有提供設備設好給我的 1 當 gw,所以才說難搞. 05/30 18:21
推 error987: 切vdom 05/30 20:50
→ slash66: 不要想的那麼死,他就是一個port,沒有一定是要wan或lan 05/30 21:19
→ slash66: 看你有幾個port,不然就改成interface mode 05/30 21:20
→ slash66: 要用的更複雜就用VDOM,一台變好幾台來玩 05/30 21:20
→ Wishmaster: 我確認一下,跟你接的人給你的對接IP是2網段 05/30 22:06
→ Wishmaster: 然後叫你出去使用的網段使用1網段嗎? 05/30 22:06
→ Wishmaster: 我知道我打得跟你的圖表達的不一樣,但是想確認一下 05/30 22:07
→ Wishmaster: 另外想問內腳用public的理由是? 05/30 22:07
我的 public ip 就是 1 網段的 ip.
但是 gw 不是上游給我的 ip,是我要在我的網段裡生 gw 出來.
然後我的 gateway 再接到上層的 2 的 gateway.
就像你的光世代, gateway 是設機房端的 254,但我得在我的網段裡自己弄 gateway,
再丟到 2 的上一層去...
→ deadwood: 同一家ISP給你兩個網段,一段有給gateway 另一段沒有? 05/30 22:13
→ deadwood: 如果是這種的你不需要想那麼多,forti在1網段不需要gw 05/30 22:19
→ deadwood: 你這邊只管把gw設定成2網段,1網段其他電腦或server gw 05/30 22:22
→ deadwood: 都指向forti 的1網段IP,forti負責把i網段IP來的流量全 05/30 22:22
→ deadwood: 送到2網段GW,回來的封包ISP會負責路由送到forti 05/30 22:23
→ deadwood: forti自然會把封包送回去給其他1網段IP 05/30 22:24
→ deadwood: 之前一直以為是為兩家ISP,結果你們偏不走某一家出去XD 05/30 22:29
→ deadwood: 還有一種做法就是1網段全部拿來做NAT用,LAN跟DMZ都用 05/30 22:32
→ deadwood: 私有IP,forti負責把私有IP轉1網段的IP然後從2網段出去 05/30 22:33
→ asdfghjklasd: 快笑死了....這明明就是 Routing mode 供裝 05/31 01:14
→ asdfghjklasd: 前端放一台 有 L3 的 SW or Cisco/HPE/Juniper 05/31 01:15
→ asdfghjklasd: Router 就好了 05/31 01:15
→ freeunixer: 是啊...我只是想知道我能不能用 fg 一台擋... 05/31 01:22
→ freeunixer: 因為為了這樣要再放一台 l3 sw 進去就覺得很 ooxx... 05/31 01:23
→ freeunixer: 因為我看 fg 號稱 rip, ospf, bgp 都有,所以想看看 05/31 01:28
→ freeunixer: 是不是有辦法直接用它解決.. 05/31 01:28
→ asdfghjklasd: 要能解就只有叫IDC/ISP不要用這種方式給你 05/31 03:23
→ deadwood: 這問題是根本跟routing protocol沒關吧 直接解決的方法 05/31 08:35
→ deadwood: 說了又不信,一直在想1網段要有gw,當然不會想到怎麼解 05/31 08:37
→ freeunixer: 你這樣 1 的 public ip netmask 跟 2 的 ip 沒重疊, 05/31 11:20
→ freeunixer: 外面是不可能看到你的,等於是用 public ip 搞 nat. 05/31 11:21
→ freeunixer: 不要說 forti 了,你用 juniper, dell 或 cisco 試都行 05/31 11:22
→ freeunixer: 你找看看哪裡有沒設 gateway 但可以連上的 ip 網路? 05/31 11:24
→ freeunixer: 有站牌但沒有路或橋,根本到不了. 05/31 11:25
→ deadwood: 只能請你多做點實驗,多讀點網路的書了(攤 05/31 11:29
→ okita3088: 一看就覺得可以做 05/31 12:27
推 saitoh: 這不就L3介接嗎 05/31 13:35
推 error987: 自帶Public IP,內層vdom路由指向外層vdom 05/31 13:57
→ error987: 外層vdom做nat出去,或是請idc幫你帶路由出去 05/31 13:58
→ freeunixer: 兩層 VDOM 是有可能可以考慮,現在 100D 開兩個 VDOM 05/31 14:11
→ freeunixer: CPU usage 會到多少?如果可以在 1/3 以下,或許能試試. 05/31 14:13
→ freeunixer: 哇...開 vdom,底層就不能用了,我不就要砍掉重練!! 05/31 14:38
→ freeunixer: 還好 disable 以後都還在... 05/31 14:49
→ asdfghjklasd: 沒關係你就用唄,有問題自包就好 05/31 14:57
→ freeunixer: 我得想清楚,不想做白工..XD 但是 vdom1 走 nat mode. 05/31 15:34
→ freeunixer: 嗯...啊...嘛... 05/31 15:35
→ relaxinrelax: 就一個標準機房端L3介接internet的架構 別鑽牛角尖 05/31 16:28
→ relaxinrelax: 就只能使用2的public IP出去 1的當作自己Lan IP 05/31 16:29
→ freeunixer: 好吧,那就來搞那個丟在路邊也沒人撿的 huawei sw 吧>< 05/31 17:00
→ dragon6: 1wan的gw設在2身上,從2出去就好,可以嗎? 06/01 14:29
→ dragon6: 但看下來你是要 2WAN 1LAN,可是只有兩個port嗎? 06/01 14:35
推 sssxyz: 嗯? 中華? 06/01 14:54
→ freeunixer: 不是 2wan,是 ip1 要經過 ip2 才能進出.但都是 public 06/01 16:02
→ freeunixer: 簡單說就是 traceroute 時, ip2 是 ip1 的下一站 06/01 16:03
→ dragon6: 嗯?那你ip1 gw設ip2不就好了? 06/02 02:01
→ freeunixer: 之前就是在問怎樣設兩段上去啊大哥... 06/02 03:19
※ 編輯: freeunixer (60.250.90.238), 06/02/2019 03:21:42→ deadwood: Hi,禮拜天多讀點書吧,怎麼設定看看手冊吧 06/02 12:41
→ deadwood: 做過的人都知道怎麼做了,但是講了你也不信也沒辦法 06/02 12:42
→ deadwood: 還陷在public IP一定要一個網段一個gateway的迷霧裡 06/02 12:43
→ deadwood: 那就自己慢慢繞吧 06/02 12:43
→ deadwood: 真的有時間壓力就找賣你們的廠商協助也行 06/02 12:46
推 error987: 樓上多多了解user site的架構吧,這案例應該是user擁有 06/02 14:50
→ error987: 自己的public ip,上游提供另一段public ip做路由介接, 06/02 14:50
→ error987: 這在IDC業務叫routing mode供裝 06/02 14:50
→ deadwood: 是啊,大家都知道是routing mode供裝,那請問1網段一定 06/02 16:04
→ deadwood: 要"弄一個gateway"才能讓連到internet嗎? 06/02 16:04
→ deadwood: 前面很多人都講過,GW指給2網段就好不是? 06/02 16:06
→ deadwood: 1.防火牆自己當1網段gatwway 2.防火牆把1網段拿來做NAT 06/02 16:07
→ deadwood: 很難懂? 06/02 16:08
→ deadwood: 就看架構兩種做法選一個來做就好了不是嗎? 06/02 16:09
→ freeunixer: 我就是在問怎麼同時是 1 的 gw 又是 2 的 ip 啊大哥.. 06/02 16:39
→ deadwood: 一開始不就回答了,找一個port設定1.2.3.4/28另一port 06/02 17:05
→ deadwood: 設定2.3.4.6 06/02 17:10
→ deadwood: 重點是2網段的ISP要把1網段GW指向你的2.3.4.6 06/02 17:13
→ deadwood: 2.3.4.5上面要有1.2.3.0/28 2.3.4.6這一筆route 06/02 17:17
→ deadwood: 只要外面網路有辦法透過ISP把1.2.3.0/28送到你的Forti 06/02 17:26
→ deadwood: 在Forti上面不管是要設定一個port用1.2.3.0/28網段 06/02 17:28
→ deadwood: 還是把1.2.3.0/28拿來純做NAT映射到內部網路都可以 06/02 17:28
→ deadwood: 你一直在講的"外面看不到",就是ISP看有沒有路由指回來 06/02 17:29
→ deadwood: 不知道你在糾結甚麼就是XD 06/02 17:30
推 Wishmaster: 打岔一下,請教這種架構英文的專業術語是啥? 06/05 10:34
→ freeunixer: 上面就有說了啊, routing mode 06/05 13:01
→ Wishmaster: routing mode泛指的東西太多了吧... = = 06/05 20:53
→ freeunixer: 就像光世代就是 bridge mode 一樣,還能多狹窄? 06/05 21:30
→ freeunixer: 就是一種網路連接方式啊... 06/05 21:32
推 egguitar: ip是ip、lan是lan,看過一堆把public ip當lan在用,還用 06/06 10:31
→ egguitar: 的爽爽的 06/06 10:31
→ egguitar: isp固定ip也只是在subscriber上綁ip而已... 06/06 10:33
→ egguitar: 光世代要說的複雜一點就是vll(last mile)+ subscriber( 06/06 10:36
→ egguitar: bras) + aaa(radius) 06/06 10:36
→ egguitar: 至於vll要改叫e-line或vc,隨你高興XD 06/06 10:37
→ freeunixer: 你 public ip 多就可以拿來當 lan 用啊... 06/06 12:14
→ asdfghjklasd: 你很勇敢就以用Public 拿來當 lan 用啊... 06/06 16:38
→ freeunixer: 我要是隨便都有 class c 以上可以用才能任性啊... 06/07 05:05
→ asdfghjklasd: 我自已就有4個Class C,勇敢申請下去吧 06/07 14:16
→ freeunixer: 我很窮,租不起... 06/08 00:15