ソースNATing Fortigateの典型的なシナリオ


7

ここに画像の説明を入力してください

FortigateでのNAT処理に関する小さなクエリがあります。特に、リモートネットワークで、特定のIP範囲のユーザーが、物理リンクの異なるセットを介してRDPの特定のポートを使用できるようにするシナリオに打撃を受けています。

LANのユーザー(192.168.60.0/24)は、Fortigateの内部ポート(インターネットに使用されているためWANではない)に接続されているリモートネットワークの10.48.1.3に接続する必要があります。

リモートネットワークファイアウォールとFortigate間のリンクが確立されました(10.189.254.17-10.189.254.18)。リモートファイアウォールのインターフェース10.189.254.17にpingを実行できます。

管理者は、10.189.1.8-10.189.1.15(リモートファイアウォールで許可されたIP)経由で、3389ポート経由で10.48.1.3にアクセスすることを望んでいます。

したがって、基本的に、ユーザー(例:ソース:192.168.60.15)は、Fortigateとリモートファイアウォール(10.189.254.18-18.189.254.17)間の物理リンクを介して、許可されたIP(10.189.1.8-10.189.1.15)経由で宛先10.48.1.4にアクセスする必要があります。

VIP(静的NAT)(ソースNAT)ポート転送、IPプール(宛先NAT)を試しましたが、役に立ちませんでした。

続行方法をアドバイスしてください。これは典型的なシナリオですが、達成できますか?


何か回答がありましたか?もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。
Ron Maupin

回答:


1

ポリシールールの下で、192.168.60.15から10.48.1.4へのアクセスを許可します。

NATを選択してプールを作成し、IP範囲を10.189.1.8-10.189.1.15に設定するだけです。

これが機能するための重要なことは、10.189.254.17から10.189.254.17へのフォーティファイトポインティングのルートがあり、最後に10.189.254.17が10.189.254.18を経由して10.189.1.8-10.189.1.15が戻ることを知っていることです。

これはかなり標準的なルールであり、達成できるようです。一部のパケットキャプチャは、問題のデバッグに役立つ場合があります。


こんにちはSmithさん、NATにIPプールを使用する場合、プールを構成するときに考慮しなければならない制限があります。プール内のIPアドレスがインターフェースに割り当てられているIPアドレスと異なる場合、それらのIPアドレスに基づくインターフェース通信は失敗します。たとえば、インターフェイスに割り当てられたIPアドレスが172.16.100.1 -172.16.100.14の場合、IPプールに10.11.12.50-10.11.12.59を選択することはできません。
ファイザンニザム2015

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.