[請益] FortiGate 的 route 功能設定

看板 MIS

作者 freeunixer (離自相空她相)

時間 2019-05-30 15:45:50

留言 155 ( 10推 0噓 145→ )

想請問一個問題. 我要擺一台 fg 的防火牆在機房.然後有很難搞的需求. 1.它是 nat mode,但必須是它自己 public ip 網段的 gateway, (lan 192.168.x.0/24, wan 1.2.3.4/28) 2.它必須有另一個 wan ip,並設定一個 gateway,以真正連上網路 (wan 2.3.4.6/30 gateway 2.3.4.5) 這 fg 能做嗎?該怎麼設? -- 讀者審校網試行版(2018/1/1 更新網址) http://readerreviewnet.processoroverload.net/ (哲、史、法、政、經、社，人文翻譯書籍錯譯提報網) ◎洪蘭"毀人不倦"舉報專區 http://tinyurl.com/ybfmzwne 讀者需自救，有錯自己改... --

留言

→ deadwood 用兩個WANport沒問題啊，default route只留一條就好 05/30 17:18 1F

推 Klauhal 2辦得到，固定制要設定IP和Gateway才能正常對外 05/30 17:18 2F

→ deadwood 1.2.3.4/28網段的其他主機把default route指向forti就好 05/30 17:19 3F

→ deadwood 問題是有public IP通常要走出去吧?到底1.2.3.4有沒有要 05/30 17:20 4F

→ deadwood 出去internet?前面的敘述讓人搞不太懂 05/30 17:20 5F

→ deadwood 而且老實說，forti自己要當gateway也可以兩個WAN都有 05/30 17:21 6F

→ deadwood default route，dual WAN LB不是Forti 的基本功能? 05/30 17:22 7F

→ freeunixer 簡單說,就是 1 的 ip 必須透過 2 才能正常連上網 05/30 17:29 8F

→ freeunixer 簡單描述就是,它是一種路由方式, 1 的 IP 透過 2 轉發 05/30 17:30 9F

→ freeunixer fg 必須要是 1 網段的 gw,同時也必須設上 2 的 ip 05/30 17:30 10F

→ deadwood 那重點就不是forti怎麼設定了，而是1.2.3.4網段的其他 05/30 17:31 11F

→ deadwood 主機把default指向forti就可以 05/30 17:32 12F

→ freeunixer 將 2 的 gateway 做為進出的 route 05/30 17:32 13F

→ freeunixer 但它是 nat mode,只能把 1 的 ip 與 lan 做 ipmapping 05/30 17:34 14F

→ deadwood CLI應該可以做更細的NAT設定 05/30 17:35 15F

→ freeunixer 我要問的是,可以怎麼同時設上 1&2 的 ip 而走 2 的 gw 05/30 17:35 16F

→ freeunixer 讓 1 的 IP 可以經由這台 FG 正常連外 05/30 17:36 17F

→ deadwood 如果WAN to WAN port的NAT真的不允許，你可以把1.網段 05/30 17:36 18F

→ deadwood 接到LAN portXD 05/30 17:36 19F

→ freeunixer 我已經說了,它是 NAT MODE,它的 lan 是 192 網段了啊. 05/30 17:37 20F

→ freeunixer 1 的 pub ip 是透過 ip mapping 跟 lan 的 192 對映. 05/30 17:37 21F

推 Wishmaster ISP 2345要把1234這段往你的2346丟 05/30 17:39 22F

→ deadwood LAN port不一定只能用192網段，也可以多設定VLAN用1網段 05/30 17:39 23F

→ freeunixer 你把 1 的 ip 設在 lan,那不就是 pub ip 變成 private 05/30 17:39 24F

→ Wishmaster 你設備的d/g還是2345但是要做source nat 1234這段 05/30 17:39 25F

→ freeunixer 那外面怎麼看的到? 05/30 17:40 26F

→ deadwood 再來，NAT做做1網段轉2網段，看你要PAT還是1:1NAT 05/30 17:40 27F

→ deadwood 從2網段出internet的話，NAT當然要source要轉成2的吧... 05/30 17:41 28F

→ freeunixer 嗯...source nat 嗎?我來想想看... 05/30 17:41 29F

→ deadwood 你就不從1網段出internet了，Forti上面就不用NAT轉成1網 05/30 17:42 30F

推 Wishmaster 我覺得你還是用小畫家畫張圖吧,我覺得上面討論 05/30 17:43 31F

→ Wishmaster 的東西不大一樣 XDDDDDDD 05/30 17:43 32F

→ deadwood 段的IP了，1網段其他IP(不管router或防火牆)後面有其他 05/30 17:43 33F

→ deadwood 網段的話，就要在那些設備自己做NAT 05/30 17:44 34F

→ deadwood 老實說撇除1網段是publicIP，這不就是跟內網多個網段 05/30 17:45 35F

→ deadwood 要從防火牆出internet一樣意思嗎? 05/30 17:45 36F

→ deadwood 所以我才會說你乾脆就把1網段做在LAN port就好 05/30 17:46 37F

→ deadwood 如果1網段後面有其他privateIP要NAT，你就累死自己而已 05/30 17:47 38F

→ freeunixer https://imgur.com/mjvCJKq 05/30 17:50 39F

39F

→ freeunixer fg 只有 nat mode 跟 tp mode.你是怎麼 nat mode 在 05/30 17:51 40F

→ freeunixer 在 LAN 放 public ip? 05/30 17:52 41F

→ freeunixer 我標題跟內文都講了是 route 功能的問題了. 05/30 17:55 42F

→ deadwood 我沒在FORTI做過，有空我試試，但是我覺得如果forti真 05/30 17:56 43F

→ deadwood 這麼白癡，LAN port來Public IP都不能設定，那換一台比 05/30 17:57 44F

→ deadwood 較快，因為這證明了他無法滿足你的需求 05/30 17:57 45F

→ freeunixer 你把 fg 當成 switch 用把 1 的 ip 放在 lan 也沒用. 05/30 18:01 46F

→ freeunixer 因為 1 沒有 GW 可以當 route 啊. 05/30 18:01 47F

→ freeunixer 是 fg 要當 1 的 gw,同時要有 2 的 ip 往 2 的 gw 丟 05/30 18:02 48F

→ deadwood "因為 1 沒有 GW 可以當 route 啊"你是說forti自己還是 05/30 18:04 49F

→ deadwood 1網段的其他IP? 05/30 18:04 50F

→ deadwood forti自己的話不需要1網段的GW，因為你只會從2出去對吧? 05/30 18:05 51F

→ deadwood 其他1網段IP的GW就是forti，沒毛病啊 05/30 18:06 52F

→ deadwood 再來還是要回到NAT的問題，因為不從1出去，就必須forti 05/30 18:09 53F

→ deadwood 做NAT把1網段轉成2網段，不然1網段IP從2出去會從1回來! 05/30 18:10 54F

→ freeunixer 簡單說就是 fg 必須是 1 的 gw,然後要走 2 的 gw 出去 05/30 18:10 55F

→ deadwood 啊我講錯了，你的2網段ISP會不會給你過都不知道.... 05/30 18:11 56F

→ freeunixer 可以,因為 2 是機房的 l3 path, 1 是給我用的 ip 05/30 18:17 57F

→ freeunixer 但是 OX 的地方是,因為某些原因,我得自己接上 2 的 gw 05/30 18:20 58F

→ freeunixer 機房沒有提供設備設好給我的 1 當 gw,所以才說難搞. 05/30 18:21 59F

推 error987 切vdom 05/30 20:50 60F

→ slash66 不要想的那麼死，他就是一個port，沒有一定是要wan或lan 05/30 21:19 61F

→ slash66 看你有幾個port，不然就改成interface mode 05/30 21:20 62F

→ slash66 要用的更複雜就用VDOM，一台變好幾台來玩 05/30 21:20 63F

→ Wishmaster 我確認一下,跟你接的人給你的對接IP是2網段 05/30 22:06 64F

→ Wishmaster 然後叫你出去使用的網段使用1網段嗎? 05/30 22:06 65F

→ Wishmaster 我知道我打得跟你的圖表達的不一樣,但是想確認一下 05/30 22:07 66F

→ Wishmaster 另外想問內腳用public的理由是? 05/30 22:07 67F

我的 public ip 就是 1 網段的 ip. 但是 gw 不是上游給我的 ip,是我要在我的網段裡生 gw 出來. 然後我的 gateway 再接到上層的 2 的 gateway. 就像你的光世代, gateway 是設機房端的 254,但我得在我的網段裡自己弄 gateway, 再丟到 2 的上一層去...

→ deadwood 同一家ISP給你兩個網段，一段有給gateway 另一段沒有? 05/30 22:13 68F

→ deadwood 本版 #1PtntykQ 看是不是這個 05/30 22:18 69F

→ deadwood 如果是這種的你不需要想那麼多，forti在1網段不需要gw 05/30 22:19 70F

→ deadwood 你這邊只管把gw設定成2網段，1網段其他電腦或server gw 05/30 22:22 71F

→ deadwood 都指向forti 的1網段IP，forti負責把i網段IP來的流量全 05/30 22:22 72F

→ deadwood 送到2網段GW，回來的封包ISP會負責路由送到forti 05/30 22:23 73F

→ deadwood forti自然會把封包送回去給其他1網段IP 05/30 22:24 74F

→ deadwood 之前一直以為是為兩家ISP，結果你們偏不走某一家出去XD 05/30 22:29 75F

→ deadwood 還有一種做法就是1網段全部拿來做NAT用，LAN跟DMZ都用 05/30 22:32 76F

→ deadwood 私有IP，forti負責把私有IP轉1網段的IP然後從2網段出去 05/30 22:33 77F

→ asdfghjklasd 快笑死了....這明明就是 Routing mode 供裝 05/31 01:14 78F

→ asdfghjklasd 前端放一台有 L3 的 SW or Cisco/HPE/Juniper 05/31 01:15 79F

→ asdfghjklasd Router 就好了 05/31 01:15 80F

→ freeunixer 是啊...我只是想知道我能不能用 fg 一台擋... 05/31 01:22 81F

→ freeunixer 因為為了這樣要再放一台 l3 sw 進去就覺得很 ooxx... 05/31 01:23 82F

→ freeunixer 因為我看 fg 號稱 rip, ospf, bgp 都有,所以想看看 05/31 01:28 83F

→ freeunixer 是不是有辦法直接用它解決.. 05/31 01:28 84F

→ asdfghjklasd 要能解就只有叫IDC/ISP不要用這種方式給你 05/31 03:23 85F

→ deadwood 這問題是根本跟routing protocol沒關吧直接解決的方法 05/31 08:35 86F

→ deadwood 說了又不信，一直在想1網段要有gw，當然不會想到怎麼解 05/31 08:37 87F

→ deadwood https://imgur.com/a/PPUjc4h 05/31 10:05 88F

88F

→ freeunixer 你這樣 1 的 public ip netmask 跟 2 的 ip 沒重疊, 05/31 11:20 89F

→ freeunixer 外面是不可能看到你的,等於是用 public ip 搞 nat. 05/31 11:21 90F

→ freeunixer 不要說 forti 了,你用 juniper, dell 或 cisco 試都行 05/31 11:22 91F

→ freeunixer 你找看看哪裡有沒設 gateway 但可以連上的 ip 網路? 05/31 11:24 92F

→ freeunixer 有站牌但沒有路或橋,根本到不了. 05/31 11:25 93F

→ deadwood 只能請你多做點實驗，多讀點網路的書了(攤 05/31 11:29 94F

→ okita3088 一看就覺得可以做 05/31 12:27 95F

推 saitoh 這不就L3介接嗎 05/31 13:35 96F

推 error987 自帶Public IP，內層vdom路由指向外層vdom 05/31 13:57 97F

→ error987 外層vdom做nat出去，或是請idc幫你帶路由出去 05/31 13:58 98F

→ freeunixer 兩層 VDOM 是有可能可以考慮,現在 100D 開兩個 VDOM 05/31 14:11 99F

→ freeunixer CPU usage 會到多少?如果可以在 1/3 以下,或許能試試. 05/31 14:13 100F

→ freeunixer 哇...開 vdom,底層就不能用了,我不就要砍掉重練!! 05/31 14:38 101F

→ freeunixer 還好 disable 以後都還在... 05/31 14:49 102F

→ asdfghjklasd 沒關係你就用唄,有問題自包就好 05/31 14:57 103F

→ freeunixer 我得想清楚,不想做白工..XD 但是 vdom1 走 nat mode. 05/31 15:34 104F

→ freeunixer 嗯...啊...嘛... 05/31 15:35 105F

→ relaxinrelax 就一個標準機房端L3介接internet的架構別鑽牛角尖 05/31 16:28 106F

→ relaxinrelax 就只能使用2的public IP出去 1的當作自己Lan IP 05/31 16:29 107F

→ freeunixer 好吧,那就來搞那個丟在路邊也沒人撿的 huawei sw 吧>< 05/31 17:00 108F

→ dragon6 1wan的gw設在2身上，從2出去就好，可以嗎？ 06/01 14:29 109F

→ dragon6 但看下來你是要 2WAN 1LAN，可是只有兩個port嗎？ 06/01 14:35 110F

推 sssxyz 嗯? 中華? 06/01 14:54 111F

→ freeunixer 不是 2wan,是 ip1 要經過 ip2 才能進出.但都是 public 06/01 16:02 112F

→ freeunixer 簡單說就是 traceroute 時, ip2 是 ip1 的下一站 06/01 16:03 113F

→ dragon6 嗯?那你ip1 gw設ip2不就好了？ 06/02 02:01 114F

→ freeunixer 之前就是在問怎樣設兩段上去啊大哥... 06/02 03:19 115F

※ 編輯: freeunixer (60.250.90.238), 06/02/2019 03:21:42

→ deadwood Hi,禮拜天多讀點書吧，怎麼設定看看手冊吧 06/02 12:41 116F

→ deadwood 做過的人都知道怎麼做了，但是講了你也不信也沒辦法 06/02 12:42 117F

→ deadwood 還陷在public IP一定要一個網段一個gateway的迷霧裡 06/02 12:43 118F

→ deadwood 那就自己慢慢繞吧 06/02 12:43 119F

→ deadwood 真的有時間壓力就找賣你們的廠商協助也行 06/02 12:46 120F

推 error987 樓上多多了解user site的架構吧，這案例應該是user擁有 06/02 14:50 121F

→ error987 自己的public ip，上游提供另一段public ip做路由介接， 06/02 14:50 122F

→ error987 這在IDC業務叫routing mode供裝 06/02 14:50 123F

→ deadwood 是啊，大家都知道是routing mode供裝，那請問1網段一定 06/02 16:04 124F

→ deadwood 要"弄一個gateway"才能讓連到internet嗎? 06/02 16:04 125F

→ deadwood 前面很多人都講過，GW指給2網段就好不是? 06/02 16:06 126F

→ deadwood 1.防火牆自己當1網段gatwway 2.防火牆把1網段拿來做NAT 06/02 16:07 127F

→ deadwood 很難懂? 06/02 16:08 128F

→ deadwood 就看架構兩種做法選一個來做就好了不是嗎? 06/02 16:09 129F

→ freeunixer 我就是在問怎麼同時是 1 的 gw 又是 2 的 ip 啊大哥.. 06/02 16:39 130F

→ deadwood 一開始不就回答了，找一個port設定1.2.3.4/28另一port 06/02 17:05 131F

→ deadwood 設定2.3.4.6 06/02 17:10 132F

→ deadwood 重點是2網段的ISP要把1網段GW指向你的2.3.4.6 06/02 17:13 133F

→ deadwood 2.3.4.5上面要有1.2.3.0/28 2.3.4.6這一筆route 06/02 17:17 134F

→ deadwood 只要外面網路有辦法透過ISP把1.2.3.0/28送到你的Forti 06/02 17:26 135F

→ deadwood 在Forti上面不管是要設定一個port用1.2.3.0/28網段 06/02 17:28 136F

→ deadwood 還是把1.2.3.0/28拿來純做NAT映射到內部網路都可以 06/02 17:28 137F

→ deadwood 你一直在講的"外面看不到"，就是ISP看有沒有路由指回來 06/02 17:29 138F

→ deadwood 不知道你在糾結甚麼就是XD 06/02 17:30 139F

推 Wishmaster 打岔一下,請教這種架構英文的專業術語是啥? 06/05 10:34 140F

→ freeunixer 上面就有說了啊, routing mode 06/05 13:01 141F

→ Wishmaster routing mode泛指的東西太多了吧... = = 06/05 20:53 142F

→ freeunixer 就像光世代就是 bridge mode 一樣,還能多狹窄? 06/05 21:30 143F

→ freeunixer 就是一種網路連接方式啊... 06/05 21:32 144F

推 egguitar ip是ip、lan是lan，看過一堆把public ip當lan在用，還用 06/06 10:31 145F

→ egguitar 的爽爽的 06/06 10:31 146F

→ egguitar isp固定ip也只是在subscriber上綁ip而已... 06/06 10:33 147F

→ egguitar 光世代要說的複雜一點就是vll(last mile）+ subscriber( 06/06 10:36 148F

→ egguitar bras) + aaa(radius) 06/06 10:36 149F

→ egguitar 至於vll要改叫e-line或vc，隨你高興XD 06/06 10:37 150F

→ freeunixer 你 public ip 多就可以拿來當 lan 用啊... 06/06 12:14 151F

→ asdfghjklasd 你很勇敢就以用Public 拿來當 lan 用啊... 06/06 16:38 152F

→ freeunixer 我要是隨便都有 class c 以上可以用才能任性啊... 06/07 05:05 153F

→ asdfghjklasd 我自已就有4個Class C，勇敢申請下去吧 06/07 14:16 154F

→ freeunixer 我很窮,租不起... 06/08 00:15 155F

[請益] FortiGate 的 route 功能設定

留言

最新文章