Переадресация портов с нескольких IP

Я работаю в компании, которая использует маршрутизатор Fortigate 60, с чем я не очень хорошо знаком. Все работало нормально до недели назад, когда пришел Comcast и заменил наш модем.

Казалось, что процесс прошел гладко - наше соединение восстановилось, а статический IP-адрес остался прежним.

Однако ни одна из наших переадресаций портов не работает.

Что меня смутило, так это то, что модем Comcast имеет два IP-адреса. Интерфейс WAN2 для него в маршрутизаторе Fortigate настроен на 10.1.10.10. Однако все наши параметры переадресации портов настроены на внешний IP-адрес 10.1.10.50.

Теперь эта настройка работала нормально, поэтому что-то с модемом Comcast должно было измениться. Как я могу узнать что?

Я попытался настроить компьютер на локальный IP-адрес 10.1.10.15, чтобы я мог открыть веб-интерфейс для модема, но я не могу даже пропинговать 10.1.10.10, когда я делаю это.

Есть идеи? Спасибо!

Источник

1 ответ

Решение

Настройка переадресации портов на 60B - это несколько этапов. Сначала вам нужно создать виртуальный IP для интерфейса (WAN2) и IP (я полагаю, 10.1.10.10), который вы хотите переадресовать. Затем необходимо добавить правило брандмауэра, разрешающее трафик с виртуального IP-адреса на внутренний интерфейс. Можете ли вы подтвердить, что вы уже сделали оба этих?

Также вы упоминаете, что ваш статический IP (с Comcast) остался прежним. Если это IP-адрес модема, я ожидаю, что это будет внешний IP-адрес, то есть не в подсети 10.xx. Тем не менее, интерфейс WAN2 вашего Fortigate имеет адрес 10.xx. Это говорит о том, что у вас есть настройка двойного NAT.

Если это так, вы можете исправить это одним из двух способов:

  1. Настроить переадресацию портов /NAT на модеме (т.е. фактически использовать двойной NAT - не приятно)
  2. Измените модем на "режим моста" и попросите Fortigate получить внешний IP в качестве своего WAN2 IP (лучше).

Обратите внимание, что при 2, если ваше соединение Comcast, например, ADSL с PPP, вам необходимо настроить Fortigate для выполнения аутентификации PPPoE.

Double-NAt также объяснил бы, почему смена маршрутизатора сломала вещи - на старом маршрутизаторе была настроена переадресация портов /NAT, а на новом нет.

Редактировать:

Похоже, мое предположение о сценарии с двумя NAT верно. Модем DSL, подключенный к WAN1, получает внешний IP-адрес и назначает адрес 10.1.10.xx интерфейсу Fortigate WAN1 через DHCP. Если у старого модема определенно не было переадресации портов, то он, вероятно, находился в режиме моста.

Если вы не можете получить доступ к недавно добавленному модему через свою внутреннюю сеть, я рекомендую вам предпринять следующие шаги:

  1. Подключите к модему напрямую через кабель Ethernet, например, к вашему ноутбуку
  2. С вашего ноутбука зайдите в веб-интерфейс конфигурации модема. Если вы не можете добраться до него, сбросьте модем до заводских настроек по умолчанию и настройте в своем браузере IP-адрес по умолчанию. Это гарантированно приведет вас на страницу конфигурации, но уничтожит существующие настройки.
  3. В интерфейсе установите IP-адрес модема на то, что находится внутри диапазона IP-адресов внутренней сети.
  4. Получите доступ к модему по новому IP-адресу, настройте все параметры, связанные с ADSL (не аутентификацию, просто настройки нижнего уровня, такие как инкапсуляция, VPI/VCI и т. Д.) Получите их из Comcast, если у вас их нет.
  5. Установите модем в режим "мост". Это важный шаг.
  6. Если ваше ADSL-соединение использует аутентификацию PPPoE, перейдите на страницу администрирования Fortigate и в разделе Сеть -> Интерфейсы -> WAN1 выберите PPPoE и введите имя пользователя и пароль ADSL.

Если все это работает, вы увидите WAN1 на fortigate получить внешний IP-адрес.

Источник
Другие вопросы по тегам