Запретить ограничение трафика через один внешний IP
У меня есть фортигейт 400А на сайте клиента. Они получили /26 от British Telecom, и мы используем 4 из этих IP-адресов в качестве пула NAT.
Есть ли способ сказать, что трафик из 172.18.4.40-45 может только когда-либо выходить из (и, следовательно, возвращаться) в xxx140 как внешний IP?
У нас есть некоторые проблемы с SIP, который выглядит так, как будто он выходит из одного, и пытается вернуться в другой.
Я попытался включить асимметричную маршрутизацию, не сработало.
Я пытался установить VIP, но даже когда я делал это, он ничего не делал.
Есть идеи? Я могу опубликовать некоторые фрагменты брандмауэра, если потребуется. Скажите, что вы хотите увидеть.
SIP ALG
config system settings
set sip-helper disable
set sip-nat-trace disable
set sip-tcp-port 5061
set sip-udp-port 5061
set multicast-forward enable
end
Интересный Sidenote
VoIP-телефоны без специальной настройки могут нормально регистрироваться на proxy.sipgate.co.uk, который имеет IP-адрес 217.10.79.16, Что круто.
Два телефона используют другого поставщика, чей IP-адрес прокси 178.255.x.x,
Эти телефоны могут регистрироваться на исходящие, но входящие сообщения INVITE никогда не поступают на телефон.
Возможно ли, что у Fortigate возникли проблемы с 178.255.x.x как там 255? Или я просто воображаю вещи?
1 ответ
Сначала я бы попытался включить ALG в приведенном выше фрагменте конфигурации. Он должен быть совместим с пулами исходного NAT.
Если это не сработает, создайте заменяющее правило NAT источника, которое соответствует группе, которая включает объекты подсети или адреса прямых телефонов. Позвольте этим устройствам получать NAT с одного IP-адреса.
В любом случае, я уверен, что вам нужно включить ALG, если за NAT или NAT-пулом находятся несколько устройств.