我搜索这个问题很久了。高级网络不是我的专长。
我的公司在两个不同的国家有两个分公司。
办公室 1:Fortigate 200E 和静态公共 IP
办公室 2:Cisco Meraki 路由器/FW 和动态公共 IP。
我想允许从办公室 2 到办公室 1 的访问,而无需通过 VPN 访问特定端口。有人告诉我,我可以使用 Meraki 端的静态路由“修复”办公室 2 的 IP。其他人告诉我这是不可能的。
请协助解释/解决。
谢谢你!
答案1
我的理解是,问题在于 Fortigate 200E 上的防火墙接受来自办公室 2 的该端口的连接,但由于办公室 2 没有固定的 IP 地址,因此无法轻易创建防火墙规则。
在我看来,你的选择是:
- 向全世界开放该端口(不推荐!)。
- 为办公室 2 获取一个静态 IP,可在 Fortigate 路由器上的防火墙规则中使用。
- 基于此 功能要求 从 2014 年开始,Fortigate 路由器似乎不再支持 端口敲门,这是一种可以将动态 IP 列入防火墙白名单以用于指定端口的机制,但这种情况自 2014 年以来可能已发生变化。(有关更多解释,请参阅 portknocking.org.) 检查两边的路由器是否存在这种可能性。
从现实角度来说,对于您的情况来说,选项 2 似乎最有可能奏效。
答案2
常见的最佳实践告诉我们,站点到站点 VPN 是可行的方法。但如果这不可行,FortiOS 中的一项功能可能会有所帮助。
您可以在接受特定端口流量的策略上放置一个强制门户。当然,如果您需要非交互式访问,这不是一个选项。
但仅仅开放一个没有身份验证的端口不应该是一个选项。