作者freeunixer (离自相空她相)
看板MIS
标题[请益] FortiGate 的 route 功能设定
时间Thu May 30 15:45:50 2019
想请问一个问题.
我要摆一台 fg 的防火墙在机房.然後有很难搞的需求.
1.它是 nat mode,但必须是它自己 public ip 网段的 gateway,
(lan 192.168.x.0/24, wan 1.2.3.4/28)
2.它必须有另一个 wan ip,并设定一个 gateway,以真正连上网路
(wan 2.3.4.6/30 gateway 2.3.4.5)
这 fg 能做吗?该怎麽设?
--
读者审校网试行版(2018/1/1 更新网址)
http://readerreviewnet.processoroverload.net/
(哲、史、法、政、经、社,人文翻译书籍错译提报网)
◎洪兰"毁人不倦"举报专区
http://tinyurl.com/ybfmzwne
读者需自救,有错自己改...
--
1F:→ deadwood: 用两个WANport没问题啊,default route只留一条就好 05/30 17:18
2F:推 Klauhal: 2办得到,固定制要设定IP和Gateway才能正常对外 05/30 17:18
3F:→ deadwood: 1.2.3.4/28网段的其他主机把default route指向forti就好 05/30 17:19
4F:→ deadwood: 问题是有public IP通常要走出去吧?到底1.2.3.4有没有要 05/30 17:20
5F:→ deadwood: 出去internet?前面的叙述让人搞不太懂 05/30 17:20
6F:→ deadwood: 而且老实说,forti自己要当gateway也可以两个WAN都有 05/30 17:21
7F:→ deadwood: default route,dual WAN LB不是Forti 的基本功能? 05/30 17:22
8F:→ freeunixer: 简单说,就是 1 的 ip 必须透过 2 才能正常连上网 05/30 17:29
9F:→ freeunixer: 简单描述就是,它是一种路由方式, 1 的 IP 透过 2 转发 05/30 17:30
10F:→ freeunixer: fg 必须要是 1 网段的 gw,同时也必须设上 2 的 ip 05/30 17:30
11F:→ deadwood: 那重点就不是forti怎麽设定了,而是1.2.3.4网段的其他 05/30 17:31
12F:→ deadwood: 主机把default指向forti就可以 05/30 17:32
13F:→ freeunixer: 将 2 的 gateway 做为进出的 route 05/30 17:32
14F:→ freeunixer: 但它是 nat mode,只能把 1 的 ip 与 lan 做 ipmapping 05/30 17:34
15F:→ deadwood: CLI应该可以做更细的NAT设定 05/30 17:35
16F:→ freeunixer: 我要问的是,可以怎麽同时设上 1&2 的 ip 而走 2 的 gw 05/30 17:35
17F:→ freeunixer: 让 1 的 IP 可以经由这台 FG 正常连外 05/30 17:36
18F:→ deadwood: 如果WAN to WAN port的NAT真的不允许,你可以把1.网段 05/30 17:36
19F:→ deadwood: 接到LAN portXD 05/30 17:36
20F:→ freeunixer: 我已经说了,它是 NAT MODE,它的 lan 是 192 网段了啊. 05/30 17:37
21F:→ freeunixer: 1 的 pub ip 是透过 ip mapping 跟 lan 的 192 对映. 05/30 17:37
22F:推 Wishmaster: ISP 2345要把1234这段往你的2346丢 05/30 17:39
23F:→ deadwood: LAN port不一定只能用192网段,也可以多设定VLAN用1网段 05/30 17:39
24F:→ freeunixer: 你把 1 的 ip 设在 lan,那不就是 pub ip 变成 private 05/30 17:39
25F:→ Wishmaster: 你设备的d/g还是2345但是要做source nat 1234这段 05/30 17:39
26F:→ freeunixer: 那外面怎麽看的到? 05/30 17:40
27F:→ deadwood: 再来,NAT做做1网段转2网段,看你要PAT还是1:1NAT 05/30 17:40
28F:→ deadwood: 从2网段出internet的话,NAT当然要source要转成2的吧... 05/30 17:41
29F:→ freeunixer: 嗯...source nat 吗?我来想想看... 05/30 17:41
30F:→ deadwood: 你就不从1网段出internet了,Forti上面就不用NAT转成1网 05/30 17:42
31F:推 Wishmaster: 我觉得你还是用小画家画张图吧,我觉得上面讨论 05/30 17:43
32F:→ Wishmaster: 的东西不大一样 XDDDDDDD 05/30 17:43
33F:→ deadwood: 段的IP了,1网段其他IP(不管router或防火墙)後面有其他 05/30 17:43
34F:→ deadwood: 网段的话,就要在那些设备自己做NAT 05/30 17:44
35F:→ deadwood: 老实说撇除1网段是publicIP,这不就是跟内网多个网段 05/30 17:45
36F:→ deadwood: 要从防火墙出internet一样意思吗? 05/30 17:45
37F:→ deadwood: 所以我才会说你乾脆就把1网段做在LAN port就好 05/30 17:46
38F:→ deadwood: 如果1网段後面有其他privateIP要NAT,你就累死自己而已 05/30 17:47
40F:→ freeunixer: fg 只有 nat mode 跟 tp mode.你是怎麽 nat mode 在 05/30 17:51
41F:→ freeunixer: 在 LAN 放 public ip? 05/30 17:52
42F:→ freeunixer: 我标题跟内文都讲了是 route 功能的问题了. 05/30 17:55
43F:→ deadwood: 我没在FORTI做过,有空我试试,但是我觉得如果forti真 05/30 17:56
44F:→ deadwood: 这麽白痴,LAN port来Public IP都不能设定,那换一台比 05/30 17:57
45F:→ deadwood: 较快,因为这证明了他无法满足你的需求 05/30 17:57
46F:→ freeunixer: 你把 fg 当成 switch 用把 1 的 ip 放在 lan 也没用. 05/30 18:01
47F:→ freeunixer: 因为 1 没有 GW 可以当 route 啊. 05/30 18:01
48F:→ freeunixer: 是 fg 要当 1 的 gw,同时要有 2 的 ip 往 2 的 gw 丢 05/30 18:02
49F:→ deadwood: "因为 1 没有 GW 可以当 route 啊"你是说forti自己还是 05/30 18:04
50F:→ deadwood: 1网段的其他IP? 05/30 18:04
51F:→ deadwood: forti自己的话不需要1网段的GW,因为你只会从2出去对吧? 05/30 18:05
52F:→ deadwood: 其他1网段IP的GW就是forti,没毛病啊 05/30 18:06
53F:→ deadwood: 再来还是要回到NAT的问题,因为不从1出去,就必须forti 05/30 18:09
54F:→ deadwood: 做NAT把1网段转成2网段,不然1网段IP从2出去会从1回来! 05/30 18:10
55F:→ freeunixer: 简单说就是 fg 必须是 1 的 gw,然後要走 2 的 gw 出去 05/30 18:10
56F:→ deadwood: 啊我讲错了,你的2网段ISP会不会给你过都不知道.... 05/30 18:11
57F:→ freeunixer: 可以,因为 2 是机房的 l3 path, 1 是给我用的 ip 05/30 18:17
58F:→ freeunixer: 但是 OX 的地方是,因为某些原因,我得自己接上 2 的 gw 05/30 18:20
59F:→ freeunixer: 机房没有提供设备设好给我的 1 当 gw,所以才说难搞. 05/30 18:21
60F:推 error987: 切vdom 05/30 20:50
61F:→ slash66: 不要想的那麽死,他就是一个port,没有一定是要wan或lan 05/30 21:19
62F:→ slash66: 看你有几个port,不然就改成interface mode 05/30 21:20
63F:→ slash66: 要用的更复杂就用VDOM,一台变好几台来玩 05/30 21:20
64F:→ Wishmaster: 我确认一下,跟你接的人给你的对接IP是2网段 05/30 22:06
65F:→ Wishmaster: 然後叫你出去使用的网段使用1网段吗? 05/30 22:06
66F:→ Wishmaster: 我知道我打得跟你的图表达的不一样,但是想确认一下 05/30 22:07
67F:→ Wishmaster: 另外想问内脚用public的理由是? 05/30 22:07
我的 public ip 就是 1 网段的 ip.
但是 gw 不是上游给我的 ip,是我要在我的网段里生 gw 出来.
然後我的 gateway 再接到上层的 2 的 gateway.
就像你的光世代, gateway 是设机房端的 254,但我得在我的网段里自己弄 gateway,
再丢到 2 的上一层去...
68F:→ deadwood: 同一家ISP给你两个网段,一段有给gateway 另一段没有? 05/30 22:13
69F:→ deadwood: 本版 #1PtntykQ 看是不是这个 05/30 22:18
70F:→ deadwood: 如果是这种的你不需要想那麽多,forti在1网段不需要gw 05/30 22:19
71F:→ deadwood: 你这边只管把gw设定成2网段,1网段其他电脑或server gw 05/30 22:22
72F:→ deadwood: 都指向forti 的1网段IP,forti负责把i网段IP来的流量全 05/30 22:22
73F:→ deadwood: 送到2网段GW,回来的封包ISP会负责路由送到forti 05/30 22:23
74F:→ deadwood: forti自然会把封包送回去给其他1网段IP 05/30 22:24
75F:→ deadwood: 之前一直以为是为两家ISP,结果你们偏不走某一家出去XD 05/30 22:29
76F:→ deadwood: 还有一种做法就是1网段全部拿来做NAT用,LAN跟DMZ都用 05/30 22:32
77F:→ deadwood: 私有IP,forti负责把私有IP转1网段的IP然後从2网段出去 05/30 22:33
78F:→ asdfghjklasd: 快笑死了....这明明就是 Routing mode 供装 05/31 01:14
79F:→ asdfghjklasd: 前端放一台 有 L3 的 SW or Cisco/HPE/Juniper 05/31 01:15
80F:→ asdfghjklasd: Router 就好了 05/31 01:15
81F:→ freeunixer: 是啊...我只是想知道我能不能用 fg 一台挡... 05/31 01:22
82F:→ freeunixer: 因为为了这样要再放一台 l3 sw 进去就觉得很 ooxx... 05/31 01:23
83F:→ freeunixer: 因为我看 fg 号称 rip, ospf, bgp 都有,所以想看看 05/31 01:28
84F:→ freeunixer: 是不是有办法直接用它解决.. 05/31 01:28
85F:→ asdfghjklasd: 要能解就只有叫IDC/ISP不要用这种方式给你 05/31 03:23
86F:→ deadwood: 这问题是根本跟routing protocol没关吧 直接解决的方法 05/31 08:35
87F:→ deadwood: 说了又不信,一直在想1网段要有gw,当然不会想到怎麽解 05/31 08:37
89F:→ freeunixer: 你这样 1 的 public ip netmask 跟 2 的 ip 没重叠, 05/31 11:20
90F:→ freeunixer: 外面是不可能看到你的,等於是用 public ip 搞 nat. 05/31 11:21
91F:→ freeunixer: 不要说 forti 了,你用 juniper, dell 或 cisco 试都行 05/31 11:22
92F:→ freeunixer: 你找看看哪里有没设 gateway 但可以连上的 ip 网路? 05/31 11:24
93F:→ freeunixer: 有站牌但没有路或桥,根本到不了. 05/31 11:25
94F:→ deadwood: 只能请你多做点实验,多读点网路的书了(摊 05/31 11:29
95F:→ okita3088: 一看就觉得可以做 05/31 12:27
96F:推 saitoh: 这不就L3介接吗 05/31 13:35
97F:推 error987: 自带Public IP,内层vdom路由指向外层vdom 05/31 13:57
98F:→ error987: 外层vdom做nat出去,或是请idc帮你带路由出去 05/31 13:58
99F:→ freeunixer: 两层 VDOM 是有可能可以考虑,现在 100D 开两个 VDOM 05/31 14:11
100F:→ freeunixer: CPU usage 会到多少?如果可以在 1/3 以下,或许能试试. 05/31 14:13
101F:→ freeunixer: 哇...开 vdom,底层就不能用了,我不就要砍掉重练!! 05/31 14:38
102F:→ freeunixer: 还好 disable 以後都还在... 05/31 14:49
103F:→ asdfghjklasd: 没关系你就用呗,有问题自包就好 05/31 14:57
104F:→ freeunixer: 我得想清楚,不想做白工..XD 但是 vdom1 走 nat mode. 05/31 15:34
105F:→ freeunixer: 嗯...啊...嘛... 05/31 15:35
106F:→ relaxinrelax: 就一个标准机房端L3介接internet的架构 别钻牛角尖 05/31 16:28
107F:→ relaxinrelax: 就只能使用2的public IP出去 1的当作自己Lan IP 05/31 16:29
108F:→ freeunixer: 好吧,那就来搞那个丢在路边也没人捡的 huawei sw 吧>< 05/31 17:00
109F:→ dragon6: 1wan的gw设在2身上,从2出去就好,可以吗? 06/01 14:29
110F:→ dragon6: 但看下来你是要 2WAN 1LAN,可是只有两个port吗? 06/01 14:35
111F:推 sssxyz: 嗯? 中华? 06/01 14:54
112F:→ freeunixer: 不是 2wan,是 ip1 要经过 ip2 才能进出.但都是 public 06/01 16:02
113F:→ freeunixer: 简单说就是 traceroute 时, ip2 是 ip1 的下一站 06/01 16:03
114F:→ dragon6: 嗯?那你ip1 gw设ip2不就好了? 06/02 02:01
115F:→ freeunixer: 之前就是在问怎样设两段上去啊大哥... 06/02 03:19
※ 编辑: freeunixer (60.250.90.238), 06/02/2019 03:21:42
116F:→ deadwood: Hi,礼拜天多读点书吧,怎麽设定看看手册吧 06/02 12:41
117F:→ deadwood: 做过的人都知道怎麽做了,但是讲了你也不信也没办法 06/02 12:42
118F:→ deadwood: 还陷在public IP一定要一个网段一个gateway的迷雾里 06/02 12:43
119F:→ deadwood: 那就自己慢慢绕吧 06/02 12:43
120F:→ deadwood: 真的有时间压力就找卖你们的厂商协助也行 06/02 12:46
121F:推 error987: 楼上多多了解user site的架构吧,这案例应该是user拥有 06/02 14:50
122F:→ error987: 自己的public ip,上游提供另一段public ip做路由介接, 06/02 14:50
123F:→ error987: 这在IDC业务叫routing mode供装 06/02 14:50
124F:→ deadwood: 是啊,大家都知道是routing mode供装,那请问1网段一定 06/02 16:04
125F:→ deadwood: 要"弄一个gateway"才能让连到internet吗? 06/02 16:04
126F:→ deadwood: 前面很多人都讲过,GW指给2网段就好不是? 06/02 16:06
127F:→ deadwood: 1.防火墙自己当1网段gatwway 2.防火墙把1网段拿来做NAT 06/02 16:07
128F:→ deadwood: 很难懂? 06/02 16:08
129F:→ deadwood: 就看架构两种做法选一个来做就好了不是吗? 06/02 16:09
130F:→ freeunixer: 我就是在问怎麽同时是 1 的 gw 又是 2 的 ip 啊大哥.. 06/02 16:39
131F:→ deadwood: 一开始不就回答了,找一个port设定1.2.3.4/28另一port 06/02 17:05
132F:→ deadwood: 设定2.3.4.6 06/02 17:10
133F:→ deadwood: 重点是2网段的ISP要把1网段GW指向你的2.3.4.6 06/02 17:13
134F:→ deadwood: 2.3.4.5上面要有1.2.3.0/28 2.3.4.6这一笔route 06/02 17:17
135F:→ deadwood: 只要外面网路有办法透过ISP把1.2.3.0/28送到你的Forti 06/02 17:26
136F:→ deadwood: 在Forti上面不管是要设定一个port用1.2.3.0/28网段 06/02 17:28
137F:→ deadwood: 还是把1.2.3.0/28拿来纯做NAT映射到内部网路都可以 06/02 17:28
138F:→ deadwood: 你一直在讲的"外面看不到",就是ISP看有没有路由指回来 06/02 17:29
139F:→ deadwood: 不知道你在纠结甚麽就是XD 06/02 17:30
140F:推 Wishmaster: 打岔一下,请教这种架构英文的专业术语是啥? 06/05 10:34
141F:→ freeunixer: 上面就有说了啊, routing mode 06/05 13:01
142F:→ Wishmaster: routing mode泛指的东西太多了吧... = = 06/05 20:53
143F:→ freeunixer: 就像光世代就是 bridge mode 一样,还能多狭窄? 06/05 21:30
144F:→ freeunixer: 就是一种网路连接方式啊... 06/05 21:32
145F:推 egguitar: ip是ip、lan是lan,看过一堆把public ip当lan在用,还用 06/06 10:31
146F:→ egguitar: 的爽爽的 06/06 10:31
147F:→ egguitar: isp固定ip也只是在subscriber上绑ip而已... 06/06 10:33
148F:→ egguitar: 光世代要说的复杂一点就是vll(last mile)+ subscriber( 06/06 10:36
149F:→ egguitar: bras) + aaa(radius) 06/06 10:36
150F:→ egguitar: 至於vll要改叫e-line或vc,随你高兴XD 06/06 10:37
151F:→ freeunixer: 你 public ip 多就可以拿来当 lan 用啊... 06/06 12:14
152F:→ asdfghjklasd: 你很勇敢就以用Public 拿来当 lan 用啊... 06/06 16:38
153F:→ freeunixer: 我要是随便都有 class c 以上可以用才能任性啊... 06/07 05:05
154F:→ asdfghjklasd: 我自已就有4个Class C,勇敢申请下去吧 06/07 14:16
155F:→ freeunixer: 我很穷,租不起... 06/08 00:15