我所在的公司使用 Fortigate 60 路由器,我对它不是很熟悉。一切都运行正常,直到一周前 Comcast 来更换我们的调制解调器。
整个过程似乎很顺利——我们的连接恢复了,并且静态 IP 保持不变。
但是,我们的端口转发均不起作用。
让我感到困惑的是,Comcast 调制解调器似乎有两个 IP 地址。Fortigate 路由器中它的 WAN2 接口设置为 10.1.10.10。但是,我们所有的端口转发设置都设置为外部 IP 地址 10.1.10.50。
现在这个设置工作正常,所以康卡斯特调制解调器一定发生了一些变化。我如何才能找出原因?
我尝试将计算机设置为本地 IP 10.1.10.15,以便我可以打开调制解调器的 Web 界面,但这样做时我甚至无法 ping 10.1.10.10。
有什么想法吗?谢谢!
答案1
在 60B 上配置端口转发需要几个步骤。首先,您需要为要转发的接口 (WAN2) 和 IP(我假设为 10.1.10.10)创建一个虚拟 IP。然后,您必须添加一条防火墙规则,允许从虚拟 IP 到内部接口的流量。您能确认您已经完成了这两项操作吗?
另外,您提到您的静态 IP(使用 Comcast)保持不变。如果这是调制解调器的 IP,我预计它是一个外部 IP,即不在 10.xx 子网中。然而,您的 Fortigate 的 WAN2 接口有一个 10.xx 地址。这表明您有一个双 NAT 设置。
如果是这种情况,你可以用以下两种方法之一修复它:
- 在调制解调器上设置端口转发/NAT(即实际使用双 NAT - 不太好)
- 将调制解调器更改为“桥接模式”,并让 Fortigate 获取外部 IP 作为其 WAN2 IP(更好)。
请注意,如果您的 Comcast 连接是 ADSL w PPP,那么您将需要配置 Fortigate 来执行 PPPoE 身份验证。
Double-NAt 还可以解释为什么更换路由器会造成一些问题 - 旧路由器配置了端口转发/NAT,而新路由器没有。
编辑:
听起来我对双 NAT 场景的猜测确实是正确的。连接到 WAN1 的 DSL 调制解调器正在获取外部 IP 地址,并通过 DHCP 为 Fortigate 的 WAN1 接口分配 10.1.10.xx 地址。如果旧调制解调器肯定没有端口转发,那么它可能处于桥接模式。
如果您无法通过内部网络访问新添加的调制解调器,我建议您采取以下步骤:
- 使用以太网电缆直接将调制解调器连接到笔记本电脑
- 从您的笔记本电脑访问调制解调器的配置 Web 界面。如果无法访问,请将调制解调器重置为出厂默认设置,并将 Web 浏览器指向其出厂设置的 IP。这保证会将您带到配置页面,但会清除现有设置。
- 在界面内,将调制解调器的 IP 地址设置为内部网络 IP 范围内的某个地址。
- 在新 IP 上访问调制解调器,配置所有与 ADSL 相关的设置(不是身份验证,只是封装、VPI/VCI 等较低层设置。如果您没有这些设置,请从 Comcast 获取)。
- 将调制解调器设置为“桥接”模式。这是重要的一步。
- 如果您的 ADSL 连接使用 PPPoE 身份验证,请访问 Fortigate 管理页面,在网络 -> 接口 -> WAN1 下,选择 PPPoE 并输入您的 ADSL 用户名和密码。
如果这一切正常,您将看到 fortigate 上的 WAN1 获得一个外部 IP 地址。