作者andrew954 (andrew954)
看板MIS
標題[請益] 防火牆對防火牆的路由
時間Sat Oct 1 00:23:25 2016
設備:
是fortigate 60b 對vigor2120
foritgate端lan ip 192.168.1.99/24
wan獨立外線
vigor2120端lan ip 192.168.10.1/24
wan獨立外線
目的:
在不將lan ip設為同網段前提下
用兩台防火牆間的靜態路由連通兩個lan的網段
(或者可以用vpn嗎?但這就是經過wan nat出去後再轉換了吧?)
vigor端設定:
vigor端靜態設定經摸索沒有使用靜態路由 而是使用路由子網的設定
設立 192.168.1.0/24的網段ip
經此設定後 vigor端的防火牆及下面的網路設備都可以成功連到fortigate的防火牆
fortigate端設定:
嘗試切換網路介面從swith mode到獨立介面模式
設想以其兩個實體port接1和10網段
但設定後無法接通
換試別的作法
直接在internal1介面設立secondary ip 為10網段ip
設定後可以直接在fortigate防火牆以exec ping 可以ping到vigor防火牆
及telnet設定
但是在forti端下面的電腦設備則無法連通
原以為是靜態路由的設定和政策設定錯誤
但路由設定
192.168.10.1/255.255.255.0 gateway:192.168.10.250(fortigate secondary ip)
政策設定 wan all to internal 192.168.10.1 也不行
想請問到底應該要怎麼設定呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.160.17.164
※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1475252607.A.F50.html
→ kenwufederer: 看不懂你的問題,只能待高手解題… 10/01 01:04
→ konkonchou: 設備接設備有跳線嗎 10/01 01:53
→ konkonchou: 若是要作load balancing這樣接反而更亂 10/01 01:57
→ konkonchou: 60b有兩個wan port可考慮從routing分開 10/01 01:59
→ konkonchou: 若是人數在30人以下100M/40M,60b勉強堪用 10/01 02:01
→ konkonchou: routing設對的前提下一台作child應該就不需要用到vpn 10/01 02:04
→ fredwei1031: 如果是兩邊獨立線路,且兩台防火牆沒有辦法直接透過 10/01 09:19
→ fredwei1031: 網路線串在一起了話,那直接建立ipsec就是最好的解決 10/01 09:19
→ fredwei1031: 辦法 10/01 09:19
→ deadwood: 第一個做法就可以了,應該是沒設定對才會沒通 10/01 09:49
→ deadwood: 不過還是建議兩台防火牆以一條線對接,設定一個獨立網段 10/01 09:57
→ deadwood: 兩邊防火牆各自設定將對方LAN網段指向對方的獨立網段IP 10/01 09:59
→ deadwood: 兩邊防火牆靜態路由設定好應該就會通了 10/01 10:00