Source NATing Fortigate typisches Szenario

7

Geben Sie hier die Bildbeschreibung ein

Ich habe eine kleine Frage zu NATing in Fortigate. Ich bin insbesondere von einem Szenario betroffen, in dem das Remotenetzwerk Benutzern mit einem bestimmten IP-Bereich mit einem bestimmten Port für RDP über einen anderen Satz physischer Verbindungen ermöglicht.

Der Benutzer (192.168.60.0/24) im LAN sollte eine Verbindung zu 10.48.1.3 im Remote-Netzwerk herstellen, das mit den internen Ports von Fortigate verbunden ist (auch kein WAN, da es für das Internet verwendet wird).

Die Verbindung zwischen der Remote-Netzwerk-Firewall und Fortigate wurde hergestellt (10.189.254.17-10.189.254.18). Ich kann die Remote-Firewall-Schnittstelle 10.189.254.17 anpingen.

Der Administrator möchte, dass wir über 10.189.1.8-10.189.1.15 über den Port 3389 auf 10.48.1.3 zugreifen (zulässige IPs auf der Remote-Firewall).

Grundsätzlich muss der Benutzer (Beispiel: Quelle: 192.168.60.15 über zulässige IP-Adressen (10.189.1.8-10.189.1.15) über eine physische Verbindung zwischen Fortigate und Remote-Firewall (10.189.254.18-18.189.254.17) auf das Ziel 10.48.1.4 zugreifen.

Ich habe versucht, VIP (Static NAT) (Quell-NAT) Portweiterleitung, IP-Pool (Ziel-NAT), aber keine Hilfe.

Bitte geben Sie an, wie Sie vorgehen sollen. Es ist ein typisches Szenario, können wir es erreichen?

Faizan Nizam
quelle
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

1

Gemäß Ihrer Richtlinienregel, um den Zugriff von 192.168.60.15 bis 10.48.1.4 zu ermöglichen.

Wählen Sie einfach NAT aus, erstellen Sie einen Pool und geben Sie den IP-Bereich 10.189.1.8-10.189.1.15 ein.

Damit dies funktioniert, müssen Sie eine Route auf Ihrem Fortigate haben, die 10.48.1.4 bis 10.189.254.17 zeigt, und schließlich weiß 10.189.254.17, dass 10.189.1.8-10.189.1.15 über 10.189.254.18 zurücklebt.

Das ist eine ziemlich normale Regel und klingt erreichbar. Einige Paketerfassungen können Ihnen beim Debuggen des Problems helfen.

Smithy2k3
quelle
Hallo Smith, bei der Verwendung von IP-Pools für NATing gibt es eine Einschränkung, die bei der Konfiguration des Pools berücksichtigt werden muss. Wenn sich die IP-Adresse (n) innerhalb des Pools von den IP-Adressen unterscheiden, die der Schnittstellenkommunikation basierend auf diesen IP-Adressen zugewiesen wurden, schlägt dies fehl. Wenn die einer Schnittstelle zugewiesenen IP-Adressen beispielsweise 172.16.100.1 -172.16.100.14 lauten, können Sie für den IP-Pool nicht 10.11.12.50 - 10.11.12.59 auswählen.
Faizan Nizam