作者andrew954 (andrew954)
看板MIS
标题[请益] 防火墙对防火墙的路由
时间Sat Oct 1 00:23:25 2016
设备:
是fortigate 60b 对vigor2120
foritgate端lan ip 192.168.1.99/24
wan独立外线
vigor2120端lan ip 192.168.10.1/24
wan独立外线
目的:
在不将lan ip设为同网段前提下
用两台防火墙间的静态路由连通两个lan的网段
(或者可以用vpn吗?但这就是经过wan nat出去後再转换了吧?)
vigor端设定:
vigor端静态设定经摸索没有使用静态路由 而是使用路由子网的设定
设立 192.168.1.0/24的网段ip
经此设定後 vigor端的防火墙及下面的网路设备都可以成功连到fortigate的防火墙
fortigate端设定:
尝试切换网路介面从swith mode到独立介面模式
设想以其两个实体port接1和10网段
但设定後无法接通
换试别的作法
直接在internal1介面设立secondary ip 为10网段ip
设定後可以直接在fortigate防火墙以exec ping 可以ping到vigor防火墙
及telnet设定
但是在forti端下面的电脑设备则无法连通
原以为是静态路由的设定和政策设定错误
但路由设定
192.168.10.1/255.255.255.0 gateway:192.168.10.250(fortigate secondary ip)
政策设定 wan all to internal 192.168.10.1 也不行
想请问到底应该要怎麽设定呢?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.160.17.164
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1475252607.A.F50.html
1F:→ kenwufederer: 看不懂你的问题,只能待高手解题… 10/01 01:04
2F:→ konkonchou: 设备接设备有跳线吗 10/01 01:53
3F:→ konkonchou: 若是要作load balancing这样接反而更乱 10/01 01:57
4F:→ konkonchou: 60b有两个wan port可考虑从routing分开 10/01 01:59
5F:→ konkonchou: 若是人数在30人以下100M/40M,60b勉强堪用 10/01 02:01
6F:→ konkonchou: routing设对的前提下一台作child应该就不需要用到vpn 10/01 02:04
7F:→ fredwei1031: 如果是两边独立线路,且两台防火墙没有办法直接透过 10/01 09:19
8F:→ fredwei1031: 网路线串在一起了话,那直接建立ipsec就是最好的解决 10/01 09:19
9F:→ fredwei1031: 办法 10/01 09:19
10F:→ deadwood: 第一个做法就可以了,应该是没设定对才会没通 10/01 09:49
11F:→ deadwood: 不过还是建议两台防火墙以一条线对接,设定一个独立网段 10/01 09:57
12F:→ deadwood: 两边防火墙各自设定将对方LAN网段指向对方的独立网段IP 10/01 09:59
13F:→ deadwood: 两边防火墙静态路由设定好应该就会通了 10/01 10:00