У меня 5 общедоступных IP-адресов. (например, с 1.1.1.1 по 1.1.1.5)
Я хотел бы прозрачно назначить первый порт 1, чтобы VPN-маршрутизатор (RV082) мог подключаться через него и прозрачно отвечать.
Остальное хочу назначить с NAT на каждый последующий порт. (например: порт 2. 1.1.1.2)
Как я мог этого добиться?
Редактировать:
Топология сети:
WAN Ethernet-кабель подключен к WAN1 на Fortigate 100D, настроенном как маршрутизатор с NAT для первого IP-адреса xx.xx.xx.1
Диапазон общедоступных IP-адресов WAN состоит из 5 IP-адресов (xx.xx.xx.1 o 5)
У меня есть RV082, который был подключен в качестве маршрутизатора сети с использованием IP-адреса xx.xx.xx.1, но после получения 100D Fortigate я подключил его как основное управляющее устройство сети для назначения 5 различных IP-адресов WAN. к разным портам прозрачно таким образом, что, например, RV082 может подключаться так, как он вел себя раньше, в то время как другие порты на 100D могут использоваться с другими IP-адресами
Я предполагаю, что вы хотите продолжать обращаться к своему VPN-шлюзу по IP-адресу 1.1.1.1, поскольку вы не хотите вносить изменения в каждую конфигурацию клиента. В этом случае вам придется использовать переадресацию портов для перенаправления трафика на устройство VPN. Пример ниже предназначен для пересылки IPsec (UDP / 500), но вы можете адаптировать его для пересылки SSL и т. Д. Обратите внимание, что вашему устройству VPN также может потребоваться включить NAT-T, чтобы трафик IKE проходил через брандмауэр.
В приведенном ниже примере предполагается, что ваше устройство VPN подключено к одному из внутренних портов коммутатора брандмауэра, но вы можете при необходимости изменить имена интерфейсов (я не тестировал эту конфигурацию).
config system interface
edit "wan1"
set ip 1.1.1.1 255.255.255.248
...
next
...
edit "internal"
set ip 192.168.1.254 255.255.255.0
...
next
end
config router static
edit XX
set device "wan1"
set gateway 1.1.1.6 #your Internet gateway IP
next
...
end
config firewall vip
edit "VIP_IPsec"
set extintf "wan1"
set portforward enable
set mappedip 192.168.1.1 #internal IP assigned to your RV082
set protocol udp
set extport 500
set mappedport 500
next
...
end
config firewall policy
edit XX
set srcintf "internal"
set dstintf "wan1"
set srcaddr "ip_192.168.1.1"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
edit XX
set srcintf "wan1"
set dstintf "internal"
set srcaddr "all"
set dstaddr "VIP_IPsec"
set action accept
set schedule "always"
set service "ALL"
next
...
end
Как только вы это сделаете, теоретически брандмауэр будет перенаправлять все запросы на 1.1.1.1:500 на устройство VPN, а обратный трафик будет преобразован через NAT из 1.1.1.1.
Посмотри, как ты с этим справишься ...
- ab1
P.S. Не уверен, учли ли вы это, но ваш брандмауэр Fortigate, возможно, имеет более продвинутые возможности VPN, чем устройство Linksys, и, возможно, имеет смысл мигрировать ..