具有多個 IP 的埠轉發

我在一家使用 Fortigate 60 路由器的公司工作，對此我不太熟悉。直到一周前康卡斯特進來並更換了我們的調製解調器之前，一切都很好。

這個過程似乎很順利——我們的連接恢復了，我們的靜態 IP 保持不變。

但是，我們的埠轉發都不起作用。

讓我感到困惑的是康卡斯特調製解調器顯然有兩個 IP 地址。Fortigate 路由器中它的 WAN2 介面設置為 10.1.10.10。但是，我們所有的埠轉發設置都設置為外部 IP 地址 10.1.10.50。

現在這個設置過去工作得很好，所以康卡斯特調製解調器的某些東西一定已經改變了。我怎樣才能知道什麼？

我嘗試將電腦設置為 10.1.10.15 的本地 IP，這樣我就可以打開調製解調器的 Web 界面，但這樣做時我什至無法 ping 10.1.10.10。

有任何想法嗎？謝謝！

在 60B 上配置埠轉發需要幾個步驟。首先，您需要為要轉發的介面 (WAN2) 和 IP（我假設為 10.1.10.10）創建一個虛擬 IP。然後，您必須添加防火牆規則，允許從虛擬 IP 到內部介面的流量。你能確認你已經完成了這兩項工作嗎？

此外，您提到您的靜態 IP（使用 Comcast）保持不變。如果這是調製解調器的 IP，我希望它是外部 IP，即不在 10.xx 子網中。然而你的 Fortigate 的 WAN2 介面有一個 10.xx 地址。這表明您有一個雙 NAT 設置。

如果是這種情況，您可以通過以下兩種方式之一修復它：

1. 在調製解調器上設置埠轉發/NAT（即實際上使用雙 NAT - 不好）
2. 將調製解調器更改為“橋接模式”並讓 Fortigate 將外部 IP 作為其 WAN2 IP（更好）。

請注意，如果您的 Comcast 連接是例如 ADSL w PPP，則使用 2，您需要配置 Fortigate 來執行 PPPoE 身份驗證。

雙 NAt 還可以解釋為什麼更改路由器會破壞 - 舊路由器配置了埠轉發/NAT，但新路由器沒有。

編輯：

聽起來我對雙 NAT 場景的猜測是正確的。連接到 WAN1 的 DSL 調製解調器正在獲取外部 IP 地址，並通過 DHCP 為 Fortigate 的 WAN1 介面分配一個 10.1.10.xx 地址。如果舊調製解調器肯定沒有埠轉發，那麼它可能處於橋接模式。

如果您無法通過內部網路訪問新添加的調製解調器，我建議您採取以下步驟：

1. 使用乙太網電纜直接連接到調製解調器，例如您的筆記型電腦
2. 從您的筆記型電腦訪問調製解調器的配置 Web 界面。如果您無法訪問它，請將調製解調器重置為出廠預設設置，並將您的網路瀏覽器指向其出廠設置的 IP。這可以保證讓您進入配置頁面，但會擦除現有設置。
3. 在界面中，將調製解調器的 IP 地址設置為內部網路 IP 範圍內的某個值。
4. 以新 IP 訪問調製解調器，配置所有與 ADSL 相關的設置（不是身份驗證，只是封裝、VPI/VCI 等低層設置。如果您沒有這些設置，請從 Comcast 獲取。
5. 將調製解調器設置為“橋接”模式。這是重要的一步。
6. 如果您的 ADSL 連接使用 PPPoE 身份驗證，請訪問 Fortigate 管理頁面，在網路 -> 介面 -> WAN1 下，選擇 PPPoE 並輸入您的 ADSL 使用者名和密碼。

如果這一切正常，您將在 fortigate 上看到 WAN1 獲得外部 IP 地址。

引用自：https://serverfault.com/questions/147232