Ich arbeite in einer Firma, die einen Fortigate 60-Router verwendet, mit dem ich nicht wirklich vertraut bin. Bis vor einer Woche, als Comcast kam und unser Modem austauschte, funktionierte alles problemlos.
Der Vorgang schien reibungslos zu verlaufen – unsere Verbindung war wiederhergestellt und unsere statische IP blieb dieselbe.
Allerdings funktioniert keine unserer Portweiterleitungen.
Was mich verwirrt, ist, dass das Comcast-Modem anscheinend zwei IP-Adressen hat. Die WAN2-Schnittstelle dafür im Fortigate-Router ist auf 10.1.10.10 eingestellt. Alle unsere Portweiterleitungseinstellungen sind jedoch auf eine externe IP-Adresse von 10.1.10.50 eingestellt.
Dieses Setup hat vorher einwandfrei funktioniert, also muss sich etwas am Comcast-Modem geändert haben. Wie kann ich herausfinden, was?
Ich habe versucht, einen Computer auf die lokale IP 10.1.10.15 einzustellen, damit ich die Weboberfläche für das Modem öffnen konnte, aber wenn ich das mache, kann ich nicht einmal einen Ping an 10.1.10.10 senden.
Irgendwelche Ideen? Danke!
Antwort1
Die Konfiguration der Portweiterleitung auf einem 60B ist ein mehrstufiger Prozess. Zuerst müssen Sie eine virtuelle IP für die Schnittstelle (WAN2) und die IP (ich nehme an, 10.1.10.10) erstellen, die Sie weiterleiten möchten. Dann müssen Sie eine Firewall-Regel hinzufügen, die Datenverkehr von der virtuellen IP zur internen Schnittstelle zulässt. Können Sie bestätigen, dass Sie beides bereits getan haben?
Außerdem erwähnen Sie, dass Ihre statische IP (bei Comcast) gleich geblieben ist. Wenn dies die IP des Modems ist, würde ich erwarten, dass es sich um eine externe IP handelt, also nicht im 10.xx-Subnetz. Die WAN2-Schnittstelle Ihres Fortigate hat jedoch eine 10.xx-Adresse. Dies deutet darauf hin, dass Sie ein Double-NAT-Setup haben.
Wenn dies der Fall ist, können Sie das Problem auf zwei Arten beheben:
- Richten Sie die Portweiterleitung/NAT auf dem Modem ein (d. h. verwenden Sie tatsächlich doppeltes NAT – nicht schön).
- Ändern Sie das Modem in den „Bridge-Modus“ und lassen Sie Fortigate die externe IP als WAN2-IP erhalten (besser).
Beachten Sie, dass Sie bei 2, wenn Ihre Comcast-Verbindung z. B. ADSL mit PPP ist, Fortigate so konfigurieren müssen, dass die PPPoE-Authentifizierung durchgeführt wird.
Double-NAt würde auch erklären, warum durch den Routerwechsel etwas schiefging – beim alten Router war Portweiterleitung/NAT konfiguriert, beim neuen jedoch nicht.
Bearbeiten:
Es klingt wirklich so, als ob meine Vermutung zum Double-NAT-Szenario richtig ist. Das an WAN1 angeschlossene DSL-Modem erhält die externe IP-Adresse und weist der WAN1-Schnittstelle des Fortigate über DHCP eine 10.1.10.xx-Adresse zu. Wenn das alte Modem definitiv keine Portweiterleitung hatte, war es wahrscheinlich im Bridge-Modus.
Wenn Sie über Ihr internes Netzwerk nicht auf das neu hinzugefügte Modem zugreifen können, empfehle ich Ihnen die folgenden Schritte:
- Verbinden Sie das Modem direkt mit einem Ethernet-Kabel mit beispielsweise Ihrem Laptop
- Greifen Sie von Ihrem Laptop aus auf die Web-Konfigurationsoberfläche des Modems zu. Wenn Sie sie nicht erreichen können, setzen Sie das Modem auf die Werkseinstellungen zurück und richten Sie Ihren Webbrowser auf die werkseitig eingestellte IP. Dadurch gelangen Sie garantiert auf eine Konfigurationsseite, vorhandene Einstellungen werden jedoch gelöscht.
- Stellen Sie innerhalb der Benutzeroberfläche die IP-Adresse des Modems auf einen Wert innerhalb des IP-Bereichs Ihres internen Netzwerks ein.
- Greifen Sie über die neue IP auf das Modem zu und konfigurieren Sie alle ADSL-bezogenen Einstellungen (keine Authentifizierung, nur Einstellungen der unteren Ebene wie Kapselung, VPI/VCI usw.). Besorgen Sie sich diese von Comcast, falls Sie sie nicht haben.
- Stellen Sie das Modem auf den Bridge-Modus. Dies ist der wichtige Schritt.
- Wenn Ihre ADSL-Verbindung die PPPoE-Authentifizierung verwendet, rufen Sie die Fortigate-Administratorseite auf, wählen Sie unter „Netzwerk“ -> „Schnittstellen“ -> „WAN1“ „PPPoE“ aus und geben Sie Ihren ADSL-Benutzernamen und Ihr Passwort ein.
Wenn dies alles funktioniert, sehen Sie, dass WAN1 auf dem Fortigate eine externe IP-Adresse erhält.