# Fortigate 200E v6.2.3
Ref:
Ref:
- https://forum.fortinet.com/tm.aspx?m=157745
- https://forum.fortinet.com/tm.aspx?m=171015
- https://kb.fortinet.com/kb/documentLink.do?externalID=FD40845
在官網的手冊中,使用『Virtual IPs』時,NAT 會優先使用 VIP 關聯的 IP 當作對外IP,
但我在使用時,好像沒有?不知道是不是 WAN Port 我沒有將該 IP 設到 [Secondary IP address]中,待測....
在 Fortigate Firewall,我們想某個內部 Interface 出去(NAT)時,使用指定的 IP,
可以使用 IP Pools來達成。最常使用的情境式 Mail Server(SMTP)。
但當使用 SD-WAN + IP Pools 時,會使得該 Policy 連線異常或中斷。
#.1 當 『SD-WAN Rules』使用『Load Balancing Algorithm』(cli:set load-balance-mode)預設【Source IP】時,不會有問題,或是問題不明顯,原因/理論 不明白?
→ 2020/04/27,不是不會有問題,而是機率是 1/WAN數量。也就是對外越多條,可用機率越低。
→ 2020/04/27,不是不會有問題,而是機率是 1/WAN數量。也就是對外越多條,可用機率越低。
#.2 承 #.1,在 Fortigate 200D(v5.6.12) 時,使用預設值(沒設定 cli:set load-balance-mode) 也沒問題。
→ 2020/04/27,翻以前的文章 v5.6.12v5.6.12時,我就遇過同樣問題,也有修正 Orz。
→ 2020/04/27,翻以前的文章 v5.6.12v5.6.12時,我就遇過同樣問題,也有修正 Orz。
#.3 承 #.1,在 Fortigate 200B(v5.2.15) 時,沒使用 SD-WAN 做多 WAN時,也沒問題。
可能原因:
當 SD-WAN 搭配 IP Pools 時,SD-WAN 不知道使用到的 IP Poolsools是屬於哪一條 WAN(Interface)。所以可能牽錯紅線,A IP 走 B WAN 的情況,因而對外連線異常(時好時壞)。
為解決這個問題,我們必須在設定 IP Pools 時指定關聯的 Interface。弔詭的是.......這麼重要的設定,GUI上沒有,必須使用 CLI。設定方式如下:
#config firewall ippool
edit <IP_Pool_1>
set associated-interface <portX>
next
edit <IP_Pool_2>
set associated-interface <portY>
next
end
留言
張貼留言