我有 5 个公共 IP 地址范围。(即:1.1.1.1 至 1.1.1.5)
我想将第一个透明地分配给端口 1,以便 VPN 路由器(RV082)可以通过它连接并透明地响应。
我想将其余部分与 NAT 一起分配给每个后续端口。(即:端口 2. 1.1.1.2)
我怎样才能实现这个目标?
编辑:
网络拓扑结构:
WAN 以太网电缆插入配置为路由器的 Fortigate 100D 上的 WAN1,NAT 的第一个 IP 为 xx.xx.xx.1
WAN 公共 IP 范围由 5 个 IP 地址组成(xx.xx.xx.1 o 5)
我有一台 RV082,它被用作网络路由器,使用 IP xx.xx.xx.1,但在收到 100D Fortigate 后,我将其用作网络的主要控制设备,以透明的方式将 5 个不同的 WAN IP 地址分配给不同的端口,例如,RV082 可以像以前一样连接,同时 100D 上的其他端口可以使用不同的 IP
答案1
我假设您希望继续在 IP 地址 1.1.1.1 上寻址 VPN 网关,因为您不想更改每个客户端配置。如果是这种情况,那么您将不得不使用端口转发将流量转发到 VPN 设备。下面的示例用于转发 IPsec (UDP/500),但您可以将其调整为转发 SSL 等。请注意,您的 VPN 设备可能还需要启用 NAT-T,以便 IKE 流量穿越防火墙。
下面的示例假设您已将 VPN 设备插入防火墙的一个内部交换机端口,但您可以根据需要调整接口名称(我没有测试过此配置)。
接口配置
config system interface
edit "wan1"
set ip 1.1.1.1 255.255.255.248
...
next
...
edit "internal"
set ip 192.168.1.254 255.255.255.0
...
next
end
默认路由
config router static
edit XX
set device "wan1"
set gateway 1.1.1.6 #your Internet gateway IP
next
...
end
港口转运 VIP
config firewall vip
edit "VIP_IPsec"
set extintf "wan1"
set portforward enable
set mappedip 192.168.1.1 #internal IP assigned to your RV082
set protocol udp
set extport 500
set mappedport 500
next
...
end
端口转发防火墙策略
config firewall policy
edit XX
set srcintf "internal"
set dstintf "wan1"
set srcaddr "ip_192.168.1.1"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
edit XX
set srcintf "wan1"
set dstintf "internal"
set srcaddr "all"
set dstaddr "VIP_IPsec"
set action accept
set schedule "always"
set service "ALL"
next
...
end
一旦执行此操作,理论上防火墙将把 1.1.1.1:500 上的所有请求转发到 VPN 设备,并且反向流量将被 NAT 出 1.1.1.1。
看看你如何处理它..
--ab1
PS 不确定您是否考虑过这一点,但您的 Fortigate 防火墙可能比 Linksys 设备具有更高级的 VPN 功能,因此迁移可能是有意义的。