想請問一個問題.
我要擺一台 fg 的防火牆在機房.然後有很難搞的需求.
1.它是 nat mode,但必須是它自己 public ip 網段的 gateway,
(lan 192.168.x.0/24, wan 1.2.3.4/28)
2.它必須有另一個 wan ip,並設定一個 gateway,以真正連上網路
(wan 2.3.4.6/30 gateway 2.3.4.5)
這 fg 能做嗎?該怎麼設?

用兩個WANport沒問題啊，default route只留一條就好

2辦得到，固定制要設定IP和Gateway才能正常對外

1.2.3.4/28網段的其他主機把default route指向forti就好問題是有public IP通常要走出去吧?到底1.2.3.4有沒有要出去internet?前面的敘述讓人搞不太懂而且老實說，forti自己要當gateway也可以兩個WAN都有default route，dual WAN LB不是Forti 的基本功能?

簡單說,就是 1 的 ip 必須透過 2 才能正常連上網簡單描述就是,它是一種路由方式, 1 的 IP 透過 2 轉發fg 必須要是 1 網段的 gw,同時也必須設上 2 的 ip

那重點就不是forti怎麼設定了，而是1.2.3.4網段的其他主機把default指向forti就可以

將 2 的 gateway 做為進出的 route但它是 nat mode,只能把 1 的 ip 與 lan 做 ipmapping

CLI應該可以做更細的NAT設定

我要問的是,可以怎麼同時設上 1&2 的 ip 而走 2 的 gw讓 1 的 IP 可以經由這台 FG 正常連外

如果WAN to WAN port的NAT真的不允許，你可以把1.網段接到LAN portXD

我已經說了,它是 NAT MODE,它的 lan 是 192 網段了啊.1 的 pub ip 是透過 ip mapping 跟 lan 的 192 對映.

ISP 2345要把1234這段往你的2346丟

LAN port不一定只能用192網段，也可以多設定VLAN用1網段

你把 1 的 ip 設在 lan,那不就是 pub ip 變成 private

那外面怎麼看的到?

再來，NAT做做1網段轉2網段，看你要PAT還是1:1NAT從2網段出internet的話，NAT當然要source要轉成2的吧...

嗯...source nat 嗎?我來想想看...

你就不從1網段出internet了，Forti上面就不用NAT轉成1網

我覺得你還是用小畫家畫張圖吧,我覺得上面討論的東西不大一樣 XDDDDDDD

段的IP了，1網段其他IP(不管router或防火牆)後面有其他網段的話，就要在那些設備自己做NAT老實說撇除1網段是publicIP，這不就是跟內網多個網段要從防火牆出internet一樣意思嗎?所以我才會說你乾脆就把1網段做在LAN port就好如果1網段後面有其他privateIP要NAT，你就累死自己而已

https://imgur.com/mjvCJKqfg 只有 nat mode 跟 tp mode.你是怎麼 nat mode 在在 LAN 放 public ip?我標題跟內文都講了是 route 功能的問題了.

我沒在FORTI做過，有空我試試，但是我覺得如果forti真這麼白癡，LAN port來Public IP都不能設定，那換一台比較快，因為這證明了他無法滿足你的需求

你把 fg 當成 switch 用把 1 的 ip 放在 lan 也沒用.因為 1 沒有 GW 可以當 route 啊.是 fg 要當 1 的 gw,同時要有 2 的 ip 往 2 的 gw 丟

"因為 1 沒有 GW 可以當 route 啊"你是說forti自己還是1網段的其他IP?forti自己的話不需要1網段的GW，因為你只會從2出去對吧?其他1網段IP的GW就是forti，沒毛病啊再來還是要回到NAT的問題，因為不從1出去，就必須forti做NAT把1網段轉成2網段，不然1網段IP從2出去會從1回來!

簡單說就是 fg 必須是 1 的 gw,然後要走 2 的 gw 出去

啊我講錯了，你的2網段ISP會不會給你過都不知道....

可以,因為 2 是機房的 l3 path, 1 是給我用的 ip但是 OX 的地方是,因為某些原因,我得自己接上 2 的 gw機房沒有提供設備設好給我的 1 當 gw,所以才說難搞.

切vdom

不要想的那麼死，他就是一個port，沒有一定是要wan或lan看你有幾個port，不然就改成interface mode要用的更複雜就用VDOM，一台變好幾台來玩

我確認一下,跟你接的人給你的對接IP是2網段然後叫你出去使用的網段使用1網段嗎?我知道我打得跟你的圖表達的不一樣,但是想確認一下另外想問內腳用public的理由是?

同一家ISP給你兩個網段，一段有給gateway 另一段沒有?本版 #1PtntykQ 看是不是這個如果是這種的你不需要想那麼多，forti在1網段不需要gw你這邊只管把gw設定成2網段，1網段其他電腦或server gw都指向forti 的1網段IP，forti負責把i網段IP來的流量全送到2網段GW，回來的封包ISP會負責路由送到fortiforti自然會把封包送回去給其他1網段IP之前一直以為是為兩家ISP，結果你們偏不走某一家出去XD還有一種做法就是1網段全部拿來做NAT用，LAN跟DMZ都用私有IP，forti負責把私有IP轉1網段的IP然後從2網段出去

快笑死了....這明明就是 Routing mode 供裝前端放一台 有 L3 的 SW or Cisco/HPE/JuniperRouter 就好了

是啊...我只是想知道我能不能用 fg 一台擋...因為為了這樣要再放一台 l3 sw 進去就覺得很 ooxx...因為我看 fg 號稱 rip, ospf, bgp 都有,所以想看看是不是有辦法直接用它解決..

要能解就只有叫IDC/ISP不要用這種方式給你

這問題是根本跟routing protocol沒關吧 直接解決的方法說了又不信，一直在想1網段要有gw，當然不會想到怎麼解https://imgur.com/a/PPUjc4h

你這樣 1 的 public ip netmask 跟 2 的 ip 沒重疊,外面是不可能看到你的,等於是用 public ip 搞 nat.不要說 forti 了,你用 juniper, dell 或 cisco 試都行你找看看哪裡有沒設 gateway 但可以連上的 ip 網路?有站牌但沒有路或橋,根本到不了.

只能請你多做點實驗，多讀點網路的書了(攤

一看就覺得可以做

這不就L3介接嗎

自帶Public IP，內層vdom路由指向外層vdom外層vdom做nat出去，或是請idc幫你帶路由出去

兩層 VDOM 是有可能可以考慮,現在 100D 開兩個 VDOMCPU usage 會到多少?如果可以在 1/3 以下,或許能試試.哇...開 vdom,底層就不能用了,我不就要砍掉重練!!還好 disable 以後都還在...

沒關係你就用唄,有問題自包就好

我得想清楚,不想做白工..XD 但是 vdom1 走 nat mode.嗯...啊...嘛...

就一個標準機房端L3介接internet的架構 別鑽牛角尖就只能使用2的public IP出去 1的當作自己Lan IP

好吧,那就來搞那個丟在路邊也沒人撿的 huawei sw 吧><

1wan的gw設在2身上，從2出去就好，可以嗎？但看下來你是要 2WAN 1LAN，可是只有兩個port嗎？

嗯? 中華?

不是 2wan,是 ip1 要經過 ip2 才能進出.但都是 public簡單說就是 traceroute 時, ip2 是 ip1 的下一站

嗯?那你ip1 gw設ip2不就好了？

之前就是在問怎樣設兩段上去啊大哥...

Hi,禮拜天多讀點書吧，怎麼設定看看手冊吧做過的人都知道怎麼做了，但是講了你也不信也沒辦法還陷在public IP一定要一個網段一個gateway的迷霧裡那就自己慢慢繞吧真的有時間壓力就找賣你們的廠商協助也行

樓上多多了解user site的架構吧，這案例應該是user擁有自己的public ip，上游提供另一段public ip做路由介接，這在IDC業務叫routing mode供裝

是啊，大家都知道是routing mode供裝，那請問1網段一定要"弄一個gateway"才能讓連到internet嗎?前面很多人都講過，GW指給2網段就好不是?1.防火牆自己當1網段gatwway 2.防火牆把1網段拿來做NAT很難懂?就看架構兩種做法選一個來做就好了不是嗎?

我就是在問怎麼同時是 1 的 gw 又是 2 的 ip 啊大哥..

一開始不就回答了，找一個port設定1.2.3.4/28另一port設定2.3.4.6重點是2網段的ISP要把1網段GW指向你的2.3.4.62.3.4.5上面要有1.2.3.0/28 2.3.4.6這一筆route只要外面網路有辦法透過ISP把1.2.3.0/28送到你的Forti在Forti上面不管是要設定一個port用1.2.3.0/28網段還是把1.2.3.0/28拿來純做NAT映射到內部網路都可以你一直在講的"外面看不到"，就是ISP看有沒有路由指回來不知道你在糾結甚麼就是XD

打岔一下,請教這種架構英文的專業術語是啥?

上面就有說了啊, routing mode

routing mode泛指的東西太多了吧... = =

就像光世代就是 bridge mode 一樣,還能多狹窄?就是一種網路連接方式啊...

ip是ip、lan是lan，看過一堆把public ip當lan在用，還用的爽爽的isp固定ip也只是在subscriber上綁ip而已...光世代要說的複雜一點就是vll(last mile）+ subscriber(bras) + aaa(radius)至於vll要改叫e-line或vc，隨你高興XD

你 public ip 多就可以拿來當 lan 用啊...

你很勇敢就以用Public 拿來當 lan 用啊...

我要是隨便都有 class c 以上可以用才能任性啊...

我自已就有4個Class C，勇敢申請下去吧

我很窮,租不起...