Назад | Перейти на главную страницу

Проблемы с DMZ на Fortigate 90D, второй маршрутизатор не может подключиться к Интернету

У меня возникают проблемы с настройкой порта DMZ на моем брандмауэре (аппаратном маршрутизаторе). Я также предполагаю, что это относится к суперпользователю, поскольку это похоже на базовую настройку DMZ. Вот установка:

у меня есть Fortigate 90D Брандмауэр (FortiOS 5.4) с двумя портами WAN, используемыми разными провайдерами. Все порты LAN используются для нашей внутренней сети, за исключением 1, который используется как порт DMZ.

Я пытаюсь изменить порт 1 LAN на порт DMZ, чтобы мы могли использовать маршрутизатор Wi-Fi, который не подключается к нашей внутренней сети. WiFi-роутер - это LinkSys EA2700 (http://www.linksys.com/us/p/P-EA2700/), но проблема, с которой я столкнулся, заключается в том, что маршрутизатор LinkSys будет подключаться к брандмауэру, а не к Интернету.

Вот что я смог найти, но не сработало:

  1. Настройте порт как DMZ (выньте из Internal и поместите в зону с именем DMZ), и зона будет заблокирована. Intra-Zone Traffic (флажок установлен)
  2. Порт настройки (в сети> интерфейсы) с адресом (т.е. 172.16.0.254/255.255.255.0) и роль DMZ (DHCP должен обрабатываться LinkSys)
  3. Настройте виртуальный IP-адрес с помощью интерфейса WAN с внешним IP-адресом и сопоставленным IP-адресом (внешний IP-адрес - это общедоступный IP-адрес в Интернете, а сопоставленный IP-адрес - это 172.16.0.254 установить на интерфейсе DMZ)
  4. Настройте политику брандмауэра, чтобы разрешить трафик, входящий из WAN и выходящий через DMZ, и установите адрес назначения на виртуальный IP-адрес (NAT отключен)
  5. LinkSys подключен к порту DMZ и используется только для WiFi с DHCP.
  6. Настройки Интернета установлены на: 172.16.0.1/255.255.255.0 Шлюз и DNS: 172.16.0.254
  7. Локальная сеть настроена на: 172.16.1.1/255.255.255.0 w / DHCP включен и настроен на использование статического DNS 172.16.1.1 (NAT также включен)

При такой настройке помните, что устройства подключаются следующим образом: Модем -> Fortigate FW -> LinkSys Wifi Router.

Другие порты работают нормально, но при подключении к маршрутизатору Wi-Fi я могу пинговать 172.16.1.1, 172.16.0.1, 172.16.0.254 и общедоступный IP (установленный в виртуальном IP) нормально. Я также попытался настроить виртуальный IP-адрес на 172.16.0.1 вместо 254, но без изменений.

На Fortigate я могу отслеживать пакеты, отправляемые из интерфейса DMZ, и это показывает, когда я пытаюсь выполнить ping 8.8.8.8, 172.16.0.1 -> 8.8.8.8 icmp: echo request. Я никогда не видел, чтобы что-то пошло с 8.8.8.8 -> 172.16.0.1/254.

Я знаю, что брандмауэр, кажется, останавливает трафик, но я не знаю, что-то мне не хватает или неправильно настроено.

Виртуальный IP-адрес не был необходим, но проблема оказалась в зоне DMZ. Block Intra-Zone Traffic проверил. Это просто настраиваемая зона с именем DMZ, но я не понимал Block Intra-Zone Traffic был проверен или что делал.

Обычно это блокирует соединения между каждым интерфейсом в зоне (согласно http://firewallguru.blogspot.com/2008/11/intra-zone-traffic.html), но это, по-видимому, также включает порты WAN (и в этом случае я не могу назначить порт WAN для зоны).

Единственное, что нужно было исправить, это маршрутизатор LinkSys, сеть Wi-Fi, необходимая для использования шлюза в качестве DNS-сервера (172.16.0.254 по примеру).