Назад | Перейти на главную страницу

Перенаправление портов с несколькими IP-адресами

Я работаю в компании, которая использует маршрутизатор Fortigate 60, с которым я не очень хорошо знаком. Все работало с ним нормально, пока неделю назад не пришел Comcast и не заменил наш модем.

Казалось, что процесс прошел гладко - наше соединение восстановилось, а наш статический IP остался прежним.

Однако ни один из наших портов переадресации не работает.

Что меня смутило, так это то, что модем Comcast имеет два IP-адреса. Интерфейс WAN2 для него в маршрутизаторе Fortigate установлен на 10.1.10.10. Однако все наши настройки переадресации портов установлены на внешний IP-адрес 10.1.10.50.

Раньше эта настройка работала нормально, так что что-то с модемом Comcast должно быть изменилось. Как я могу узнать что?

Я попытался настроить компьютер на локальный IP-адрес 10.1.10.15, чтобы я мог открыть веб-интерфейс для модема, но я даже не могу пинговать 10.1.10.10, когда это делаю.

Любые идеи? Спасибо!

Настройка переадресации портов на 60B - это процесс, состоящий из нескольких этапов. Сначала вам нужно создать виртуальный IP-адрес для интерфейса (WAN2) и IP (я предполагаю, 10.1.10.10), который вы хотите пересылать. Затем вам нужно добавить правило брандмауэра, разрешающее трафик с виртуального IP-адреса на внутренний интерфейс. Вы можете подтвердить, что уже сделали и то, и другое?

Кроме того, вы упомянули, что ваш статический IP (с Comcast) остался прежним. Если это IP-адрес модема, я бы ожидал, что это будет внешний IP-адрес, то есть не в подсети 10.xx. Однако интерфейс WAN2 вашего Fortigate имеет адрес 10.xx. Это говорит о том, что у вас есть настройка двойного NAT.

В этом случае вы можете исправить это одним из двух способов:

  1. Настроить переадресацию портов / NAT на модеме (т.е. фактически использовать двойной NAT - нехорошо)
  2. Измените модем на «режим моста» и пусть Fortigate получит внешний IP-адрес в качестве своего IP-адреса WAN2 (лучше).

Обратите внимание, что с 2, если ваше соединение Comcast, например, ADSL w PPP, вам необходимо настроить Fortigate для выполнения аутентификации PPPoE.

Double-NAt также объяснил бы, почему смена маршрутизатора сломалась - на старом маршрутизаторе была настроена переадресация портов / NAT, а на новом - нет.

Редактировать:

Похоже, что моя догадка о сценарии с двойным NAT верна. Модем DSL, подключенный к WAN1, получает внешний IP-адрес и назначает адрес 10.1.10.xx интерфейсу WAN1 Fortigate через DHCP. Если в старом модеме определенно не было переадресации портов, то, вероятно, он был в режиме моста.

Если вы не можете получить доступ к только что добавленному модему через внутреннюю сеть, я рекомендую вам предпринять следующие шаги:

  1. Подключитесь к модему напрямую с помощью кабеля Ethernet, например, к вашему ноутбуку
  2. С портативного компьютера войдите в веб-интерфейс настройки модема. Если вы не можете связаться с ним, сбросьте модем до заводских настроек по умолчанию и укажите в веб-браузере заводской IP-адрес. Это гарантированно приведет вас на страницу конфигурации, но сотрет существующие настройки.
  3. В интерфейсе установите IP-адрес модема на что-нибудь из диапазона IP-адресов вашей внутренней сети.
  4. Получите доступ к модему по новому IP-адресу, настройте все параметры, связанные с ADSL (не аутентификацию, только настройки нижнего уровня, такие как инкапсуляция, VPI / VCI и т. Д.). Получите их от Comcast, если у вас их нет.
  5. Установите модем в режим «моста». Это важный шаг.
  6. Если ваше ADSL-соединение использует аутентификацию PPPoE, перейдите на страницу администратора Fortigate и в разделе Сеть -> Интерфейсы -> WAN1 выберите PPPoE и введите свое имя пользователя и пароль ADSL.

Если все это работает, вы увидите, что WAN1 на фортигате получает внешний IP-адрес.