我在客户那里有一台 fortigate 400A。他们从英国电信那里获得了一个 /26,我们使用其中的 4 个 IP 作为 NAT 池。
有没有办法可以说来自 172.18.4.40-45 的流量只能从 xxx140 作为外部 IP 出来(并因此返回)?
我们在使用 SIP 时遇到了一些问题,看起来它正从一个 SIP 出来,并试图回到另一个 SIP 中。
我尝试启用非对称路由,但没有成功。
我尝试设置 VIP,但即使我这样做了,它似乎也没有产生任何反应。
有什么想法吗?如果需要的话,我可能会发布一些防火墙代码片段。告诉我你想看什么。
SIP应用层网关
config system settings
set sip-helper disable
set sip-nat-trace disable
set sip-tcp-port 5061
set sip-udp-port 5061
set multicast-forward enable
end
有趣的旁注
无需特殊配置,VoIP 电话即可顺利注册到 proxy.sipgate.co.uk,其 IP 地址为217.10.79.16。这很酷。
两部手机使用不同的提供商,其代理 IP 地址为178.255.x.x。
这些手机可以注册出站,但入站 INVITE 永远不会到达手机。
Fortigate 是否有可能178.255.x.x因为里面有 255 而出现问题?还是只是我的错觉?
答案1
我将首先尝试启用上述配置片段中的 ALG。它应该与源 NAT 池兼容。
如果效果不佳,请创建一个替代源 NAT 规则,该规则与包含电话子网或直接地址对象的组匹配。让这些设备从单个 IP 地址进行源 NAT。
无论哪种方式,如果多个设备位于 NAT 或 NAT 池后面,我很确定您需要启用 ALG。