内部IP无法通过外部 IP访问SNAT指向的内部服务器的问题【已解决】

环境描述:
设备:FG-90D FortiOS版本号:5.2.1

FGT 外网地址:102.214.231.58 内网地址: 10.10.10.254 SNAT的ext ip 102.214.231.59 内网地 址:10.10.10.11

问题描述:

在FG90D上建立了一条SNAT(VIP)(在这条vip上,ext ip 是ISP分配的多余的ip地址(与FGT外网ip同网段),map ip 是内部一台服务器,没有启用端口转发 (做一对一的静态映射)

建立了该vip相关策略后(WAN to LAN ,源地址 any 目的地址 上述的vip )后,在外网已经可以通过此ext ip正常访问 内部这台服务器

现在的问题是,在内部网络无法通过该ext ip 去访问这台内部服务器 (因架构问题,不能用内网ip访问)

测试建立了多种不同的策略以及策略路由(内部客户端与该主机同一网段,流入和流出接口均为内网接口 ,源地址为0.0.0.0/0.0.0.0 目的地址是该服务器的内部ip地址 10.10.10.11/255.255.255.255 ) ,也没有生效

我记得 fortios 3.x 4.x 貌似不存在这类问题,请问在fortios 5.x 下如何解决??
已邀请:

蝈蝈 - 郭亦剑-上海明途

赞同来自:

在彦龙兄的帮助下,问题已解决
感谢~~

解决方法:在上述lan to wan 的vip策略基础上 再添加一条 lan to lan (源地址 all 目的地址 vip条目 (vip条目中接口选为any) 的策略即可。

注意:上述两条策略中 不启用nat ;以后fortios 5.x 设备遇到这种情况 大家可以试试看~

要回复问题请先登录注册