其他 LAN 网段的内部映射 IP (fortigate)

网络工程 加强 鼻涕虫
2022-02-06 03:48:10

我有两个局域网

  • 局域网 1 - 192.168.250.0/24
  • 局域网 2 - 192.168.21.0/24

有没有一种方法可以使用静态 NAT 将 IP (如 192.168.21.1)映射到 LAN1 的 IP(如 192.168.250.1)?

这对于使用 LAN2 的 IP 访问某些 LAN1 IP 至关重要。我正在使用 fortigate 30d(LAN1 和 LAN2 接口)进行测试。

我做了:

  • 创建 IPv4 策略以允许 LAN1 的子网访问 LAN2 子网(未启用 NAT 选项。我不知道此选项如何工作。如果它的 PAT 或动态 NAT 或其他。)
  • 在接口 LAN1 上创建虚拟 IP 以使用 LAN2 的外部 IP 映射到 LAN1 本身的 IP。

使用wireshark,我看不到任何翻译的流量。我错过了什么吗?

1个回答

您计划做的是“目标 NAT”,在 FortiOS 中,这是通过“虚拟 IP”(VIP)完成的。

1-创建一个像这个
名字的VIP:dnat_LAN2_to_LAN1外部接口:LAN2
外部IP:192.168.21.10(例如)
映射IP:192.168.250.23(例如)
端口转发:未启用

2-使用源接口创建策略
:LAN2
源地址:LAN2_subnet
目标接口:LAN1
目标地址:dnat_LAN2_to_LAN1
服务,计划:根据您的喜好
NAT:未启用

您现在可以使用 LAN2 上的 IP 192.168.21.10 ping LAN1 上的 192.168.250.23。
如果您想映射多个 IP:
- 您可以创建多个 VIP 并将它们放入一个“VIP 组”并在策略中使用它,或者
- 您可以定义一个“外部”地址范围,然后将其 1:1 映射到“映射到”范围

请注意,您不必将 LAN1 源地址转换为 LAN2 地址以完全“伪装”它 - VIP 会自动执行此操作,即使对于来自 LAN1 的流量也是如此。

其它你可能感兴趣的问题
上一篇无法在呼叫管理器中注册 2 部电话 - 实验室 下一篇OSPF 点对点网络 ABR 通告