FortiGate 140D WAN問題

※現場環境:
Fortinet FG-140D
韌體版本:v5.2.4,build688 (GA)
WAN 1:IP 60.249.24.111
Port 1:接Extreme X440 IP 192.168.0.254
-------------------
※問題:
在Extreme底下所有PC皆無法Ping到WAN IP。
換句話說,在LAN底下的pc若要管理此部Forti不能使用wan ip登入管理,一定要使用lan ip才能管理!
這樣的狀況是正常的嗎?
-------------------
我有在FD-140D上使用Sniffer監聽icmp封包。如附件:02.png
一、當我監聽port wan1時,使用Extreme去ping 60.249.24.111發現wan1無任何封包流入!
如圖 Part2

二、當我監聽port lan1時,使用Extreme去ping 60.249.24.111發現lan1有任何封包流入!
如圖 Part3
01.png 02.png
已邀请:

kmliu - Fortinet-TAC

赞同来自: jimmyhiyawu

建议debug flow一下,在命令行下敲入:diagnose debug flow filter addr 192.168.0.254
diagnose debug flow filter pro 1
diagnose debug flow show console enable 
diagnose debug flow show function-name enable
diagnose debug flow trace start 5
diagnose debug enable 
 
192.168.0.254 ping 60.249.24.111,把捕获到的信息贴出来看一下。

kmliu - Fortinet-TAC

赞同来自: jimmyhiyawu

LAN下的用户,只要FGT配置允许到WAN的策略,即可ping通WAN的接口IP。所有正常应该是可以Ping通的哦。
是否FGT配置了可信任的主机?

kmliu - Fortinet-TAC

赞同来自: jimmyhiyawu

1.我注意到,从我这边的办公网络ping 你那边的“WAN 1:IP 60.249.24.111”,可以ping通,因此我判断你没有配置管理员的可信主机。(FGT如果配置了管理员admin的可信主机,则只有可信主机IP才能够访问包括ping通FGT)

2.您已经配置了从Lan到WAN的策略,因此正常情况下WAN1应该是可以被内网PC ping通的。除非:
  a.是否FGT配置了60.249.24.111的VIP策略,并且外部接口选择的Any?如果有配置VIP,且从内网访问VIP的时候由于无策略允许,数据将会匹配policy0被丢弃。(这个可能性较大,还请排查一下VIP的配置)
  b.我看到Internal接口IP为192.168.0.1且配置了DHCP,但是DHCP的网关设置却为192.168.0.254,我不确定192.168.0.254是一台什么样的设备,是否支持ICMP重定向,或者正常的路由功能,是否存在会话状态监测。总之,如果PC的网关指向192.168.0.254,有可能会存在的问题。(但是由于从FGT的sniffer信息上看到了FGT已接到了icmp的数据,因此猜测由于网关为192.168.0.254导致的可能性不大。重点关注a吧。)

kmliu - Fortinet-TAC

赞同来自: jimmyhiyawu

2、LAN1底下接的是Extreme X440-24t Switch
   2-a、有設定vip,如附件圖。
----如果是这样。可以将图中的第4条和第5条VIP规则,将接口为“any”,修改成“WAN1”。
  我想你配置成any,目的是想内部的人也可以通过公网IP访问PolyCOM,飞塔的FortiGate,默认内部电脑访问VIP的公网IP会给转换成私网地址,前提是配置了内网PC上Internet的策略,上Internet一般FGT都配置了,因此你将any修改成WAN1对业务不会有任何影响,VIP会正常的工作。 ---修改完之后,你在内网PC再ping WAN1的公网IP试试是否可以通了?

   2-b、因為,此台Forti上,只有Default Route,要訪問其它VLAN要去問Extreme X440(192.168.0.254)
----如果是 Extreme X440-24t Switch设备,一般默认开启了ip redirects,应该不会有什么问题,只要是标准的网络设备就OK。不会造成业务异常。此处你可以忽略。

jimmyhiyawu

赞同来自:

先感謝kmliu,這麼熱心協助。
 
跟您請教一下,lan底下的設備ping不到wan ip是正常的嗎?

 《把捕获到的信息,如下》
id=20085 trace_id=6 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, 192.168.0.254:473->60.249.24.111:8) from port1. code=8, type=0, id=473, seq=0."

id=20085 trace_id=6 func=init_ip_session_common line=4569 msg="allocate a new session-008fcaaf"

id=20085 trace_id=6 func=fw_local_in_handler line=381 msg="iprope_in_check() check failed on policy 0, drop"

id=20085 trace_id=7 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, 192.168.0.254:473->60.249.24.111:8) from port1. code=8, type=0, id=473, seq=1."

id=20085 trace_id=7 func=init_ip_session_common line=4569 msg="allocate a new session-008fcab6"

id=20085 trace_id=7 func=fw_local_in_handler line=381 msg="iprope_in_check() check failed on policy 0, drop"

id=20085 trace_id=8 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, 192.168.0.254:473->60.249.24.111:8) from port1. code=8, type=0, id=473, seq=2."

id=20085 trace_id=8 func=init_ip_session_common line=4569 msg="allocate a new session-008fcabd"

id=20085 trace_id=8 func=fw_local_in_handler line=381 msg="iprope_in_check() check failed on policy 0, drop"

id=20085 trace_id=9 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, 192.168.0.254:473->60.249.24.111:8) from port1. code=8, type=0, id=473, seq=3."

id=20085 trace_id=9 func=init_ip_session_common line=4569 msg="allocate a new session-008fcad6"

id=20085 trace_id=9 func=fw_local_in_handler line=381 msg="iprope_in_check() check failed on policy 0, drop"
 
我有發現… 『policy 0, drop』這是關鍵字嗎?
我去我Policy底下,沒看到id是0的規則!
還是我誤會了....
 
感謝。

jimmyhiyawu

赞同来自:

附件是我WAN1與LAN1的配置,是否有遺漏勾選或多勾的地方?

jimmyhiyawu

赞同来自:

kmliu哥 您好

1、我在管理員設置→管理員
   1-1、我這裡的Admin帳號已拿掉!
   1-2、其它管理員帳號中『只从信任主机限制该Admin登录』此部份皆無勾選。

2、LAN1底下接的是Extreme X440-24t Switch
   2-a、有設定vip,如附件圖。
   2-b、因為,此台Forti上,只有Default Route,要訪問其它VLAN要去問Extreme X440(192.168.0.254)
  ※還是,我這樣的設定是有問題的?或是在實務上,不會這樣設定?

抱歉,我是初入此行業的新手,
由於廠商,告知我,lan底下是無法ping到wan ip的...
還是覺得有疑問,才在此發問,請教各位前輩。

感謝kmliu的協助!!謝謝您!

jimmyhiyawu

赞同来自:

kmliu哥:
圖中,第四、第五條....其實是,沒留意,設定成ANY的!並不是有什麼特殊用途!
果真!我將第四條、第五條由any修改為WAN1後,內網PC就可以ping的到WAN1的公網IP了!
您真是太神了,請受小弟一拜!

順帶再了解一下,為何,我這樣設定會導致內網的ip無法ping到wan1的ip呢?
 

要回复问题请先登录注册