Я работаю в компании, которая использует маршрутизатор Fortigate 60, с которым я не очень хорошо знаком. Все работало нормально, пока неделю назад не пришел Comcast и не заменил наш модем.
Казалось, процесс прошел гладко — наше соединение восстановилось, а наш статический IP-адрес остался прежним.
Однако ни один из наших портов-переадресаторов не работает.
Меня смутило то, что у модема Comcast, по-видимому, два IP-адреса. Интерфейс WAN2 для него в маршрутизаторе Fortigate установлен на 10.1.10.10. Однако все наши настройки переадресации портов установлены на внешний IP-адрес 10.1.10.50.
Раньше эта настройка работала нормально, так что что-то с модемом Comcast, должно быть, изменилось. Как узнать, что именно?
Я попытался установить на компьютере локальный IP-адрес 10.1.10.15, чтобы открыть веб-интерфейс модема, но при этом я даже не могу выполнить ping на 10.1.10.10.
Есть идеи? Спасибо!
решение1
Настройка переадресации портов на 60B — это многоэтапный процесс. Сначала вам нужно создать виртуальный IP для интерфейса (WAN2) и IP (я предполагаю, 10.1.10.10), который вы хотите переадресовать. Затем вам нужно добавить правило брандмауэра, разрешающее трафик с виртуального IP на внутренний интерфейс. Можете ли вы подтвердить, что вы уже сделали оба этих действия?
Также вы упоминаете, что ваш статический IP (с Comcast) остался прежним. Если это IP модема, я бы ожидал, что это будет внешний IP, т. е. не в подсети 10.xx. Однако интерфейс WAN2 вашего Fortigate имеет адрес 10.xx. Это говорит о том, что у вас установлена двойная NAT.
Если это так, вы можете исправить это одним из двух способов:
- Настройте переадресацию портов/NAT на модеме (т.е. фактически используйте двойной NAT — не очень хорошо)
- Измените модем на «режим моста» и дайте Fortigate получить внешний IP-адрес в качестве своего WAN2 IP-адреса (это лучше).
Обратите внимание, что в пункте 2, если ваше соединение Comcast, например, ADSL с PPP, вам необходимо настроить Fortigate для выполнения аутентификации PPPoE.
Двойной NAT также объяснил бы, почему смена маршрутизатора все сломала: на старом маршрутизаторе была настроена переадресация портов/NAT, а на новом — нет.
Редактировать:
Похоже, что моя догадка о сценарии с двойным NAT верна. DSL-модем, подключенный к WAN1, получает внешний IP-адрес и назначает адрес 10.1.10.xx интерфейсу WAN1 Fortigate через DHCP. Если старый модем определенно не имел переадресации портов, то он, вероятно, был в режиме моста.
Если вы не можете получить доступ к недавно добавленному модему через внутреннюю сеть, я рекомендую вам предпринять следующие шаги:
- Подключитесь напрямую к модему с помощью кабеля Ethernet, например, к вашему ноутбуку.
- С вашего ноутбука зайдите в веб-интерфейс конфигурации модема. Если вы не можете этого сделать, сбросьте настройки модема до заводских и введите в веб-браузере его заводской IP-адрес. Это гарантированно приведет вас на страницу конфигурации, но сотрет существующие настройки.
- В интерфейсе установите IP-адрес модема в пределах диапазона IP-адресов вашей внутренней сети.
- Подключитесь к модему по новому IP-адресу, настройте все параметры, связанные с ADSL (не аутентификацию, а только параметры более низкого уровня, такие как инкапсуляция, VPI/VCI и т. д. Если у вас их нет, получите их у Comcast.
- Установите модем в режим «мост». Это важный шаг.
- Если ваше ADSL-подключение использует аутентификацию PPPoE, откройте страницу администрирования Fortigate и в разделе «Сеть» -> «Интерфейсы» -> «WAN1» выберите PPPoE и введите имя пользователя и пароль ADSL.
Если все это сработает, вы увидите, что WAN1 на Fortigate получит внешний IP-адрес.