想请问一个问题.
我要摆一台 fg 的防火墙在机房.然后有很难搞的需求.
1.它是 nat mode,但必须是它自己 public ip 网段的 gateway,
(lan 192.168.x.0/24, wan 1.2.3.4/28)
2.它必须有另一个 wan ip,并设定一个 gateway,以真正连上网络
(wan 2.3.4.6/30 gateway 2.3.4.5)
这 fg 能做吗?该怎么设?

用两个WANport没问题啊，default route只留一条就好

2办得到，固定制要设定IP和Gateway才能正常对外

1.2.3.4/28网段的其他主机把default route指向forti就好问题是有public IP通常要走出去吧?到底1.2.3.4有没有要出去internet?前面的叙述让人搞不太懂而且老实说，forti自己要当gateway也可以两个WAN都有default route，dual WAN LB不是Forti 的基本功能?

简单说,就是 1 的 ip 必须透过 2 才能正常连上网简单描述就是,它是一种路由方式, 1 的 IP 透过 2 转发fg 必须要是 1 网段的 gw,同时也必须设上 2 的 ip

那重点就不是forti怎么设定了，而是1.2.3.4网段的其他主机把default指向forti就可以

将 2 的 gateway 做为进出的 route但它是 nat mode,只能把 1 的 ip 与 lan 做 ipmapping

CLI应该可以做更细的NAT设定

我要问的是,可以怎么同时设上 1&2 的 ip 而走 2 的 gw让 1 的 IP 可以经由这台 FG 正常连外

如果WAN to WAN port的NAT真的不允许，你可以把1.网段接到LAN portXD

我已经说了,它是 NAT MODE,它的 lan 是 192 网段了啊.1 的 pub ip 是透过 ip mapping 跟 lan 的 192 对映.

ISP 2345要把1234这段往你的2346丢

LAN port不一定只能用192网段，也可以多设定VLAN用1网段

你把 1 的 ip 设在 lan,那不就是 pub ip 变成 private

那外面怎么看的到?

再来，NAT做做1网段转2网段，看你要PAT还是1:1NAT从2网段出internet的话，NAT当然要source要转成2的吧...

嗯...source nat 吗?我来想想看...

你就不从1网段出internet了，Forti上面就不用NAT转成1网

我觉得你还是用小画家画张图吧,我觉得上面讨论的东西不大一样 XDDDDDDD

段的IP了，1网段其他IP(不管router或防火墙)后面有其他网段的话，就要在那些设备自己做NAT老实说撇除1网段是publicIP，这不就是跟内网多个网段要从防火墙出internet一样意思吗?所以我才会说你干脆就把1网段做在LAN port就好如果1网段后面有其他privateIP要NAT，你就累死自己而已

https://imgur.com/mjvCJKqfg 只有 nat mode 跟 tp mode.你是怎么 nat mode 在在 LAN 放 public ip?我标题跟内文都讲了是 route 功能的问题了.

我没在FORTI做过，有空我试试，但是我觉得如果forti真这么白痴，LAN port来Public IP都不能设定，那换一台比较快，因为这证明了他无法满足你的需求

你把 fg 当成 switch 用把 1 的 ip 放在 lan 也没用.因为 1 没有 GW 可以当 route 啊.是 fg 要当 1 的 gw,同时要有 2 的 ip 往 2 的 gw 丢

"因为 1 没有 GW 可以当 route 啊"你是说forti自己还是1网段的其他IP?forti自己的话不需要1网段的GW，因为你只会从2出去对吧?其他1网段IP的GW就是forti，没毛病啊再来还是要回到NAT的问题，因为不从1出去，就必须forti做NAT把1网段转成2网段，不然1网段IP从2出去会从1回来!

简单说就是 fg 必须是 1 的 gw,然后要走 2 的 gw 出去

啊我讲错了，你的2网段ISP会不会给你过都不知道....

可以,因为 2 是机房的 l3 path, 1 是给我用的 ip但是 OX 的地方是,因为某些原因,我得自己接上 2 的 gw机房没有提供设备设好给我的 1 当 gw,所以才说难搞.

切vdom

不要想的那么死，他就是一个port，没有一定是要wan或lan看你有几个port，不然就改成interface mode要用的更复杂就用VDOM，一台变好几台来玩

我确认一下,跟你接的人给你的对接IP是2网段然后叫你出去使用的网段使用1网段吗?我知道我打得跟你的图表达的不一样,但是想确认一下另外想问内脚用public的理由是?

同一家ISP给你两个网段，一段有给gateway 另一段没有?本版 #1PtntykQ 看是不是这个如果是这种的你不需要想那么多，forti在1网段不需要gw你这边只管把gw设定成2网段，1网段其他电脑或server gw都指向forti 的1网段IP，forti负责把i网段IP来的流量全送到2网段GW，回来的封包ISP会负责路由送到fortiforti自然会把封包送回去给其他1网段IP之前一直以为是为两家ISP，结果你们偏不走某一家出去XD还有一种做法就是1网段全部拿来做NAT用，LAN跟DMZ都用私有IP，forti负责把私有IP转1网段的IP然后从2网段出去

快笑死了....这明明就是 Routing mode 供装前端放一台 有 L3 的 SW or Cisco/HPE/JuniperRouter 就好了

是啊...我只是想知道我能不能用 fg 一台挡...因为为了这样要再放一台 l3 sw 进去就觉得很 ooxx...因为我看 fg 号称 rip, ospf, bgp 都有,所以想看看是不是有办法直接用它解决..

要能解就只有叫IDC/ISP不要用这种方式给你

这问题是根本跟routing protocol没关吧 直接解决的方法说了又不信，一直在想1网段要有gw，当然不会想到怎么解https://imgur.com/a/PPUjc4h

你这样 1 的 public ip netmask 跟 2 的 ip 没重叠,外面是不可能看到你的,等于是用 public ip 搞 nat.不要说 forti 了,你用 juniper, dell 或 cisco 试都行你找看看哪里有没设 gateway 但可以连上的 ip 网络?有站牌但没有路或桥,根本到不了.

只能请你多做点实验，多读点网络的书了(摊

一看就觉得可以做

这不就L3介接吗

自带Public IP，内层vdom路由指向外层vdom外层vdom做nat出去，或是请idc帮你带路由出去

两层 VDOM 是有可能可以考虑,现在 100D 开两个 VDOMCPU usage 会到多少?如果可以在 1/3 以下,或许能试试.哇...开 vdom,底层就不能用了,我不就要砍掉重练!!还好 disable 以后都还在...

没关系你就用呗,有问题自包就好

我得想清楚,不想做白工..XD 但是 vdom1 走 nat mode.嗯...啊...嘛...

就一个标准机房端L3介接internet的架构 别钻牛角尖就只能使用2的public IP出去 1的当作自己Lan IP

好吧,那就来搞那个丢在路边也没人捡的 huawei sw 吧><

1wan的gw设在2身上，从2出去就好，可以吗？但看下来你是要 2WAN 1LAN，可是只有两个port吗？

嗯? 中华?

不是 2wan,是 ip1 要经过 ip2 才能进出.但都是 public简单说就是 traceroute 时, ip2 是 ip1 的下一站

嗯?那你ip1 gw设ip2不就好了？

之前就是在问怎样设两段上去啊大哥...

Hi,礼拜天多读点书吧，怎么设定看看手册吧做过的人都知道怎么做了，但是讲了你也不信也没办法还陷在public IP一定要一个网段一个gateway的迷雾里那就自己慢慢绕吧真的有时间压力就找卖你们的厂商协助也行

楼上多多了解user site的架构吧，这案例应该是user拥有自己的public ip，上游提供另一段public ip做路由介接，这在IDC业务叫routing mode供装

是啊，大家都知道是routing mode供装，那请问1网段一定要"弄一个gateway"才能让连到internet吗?前面很多人都讲过，GW指给2网段就好不是?1.防火墙自己当1网段gatwway 2.防火墙把1网段拿来做NAT很难懂?就看架构两种做法选一个来做就好了不是吗?

我就是在问怎么同时是 1 的 gw 又是 2 的 ip 啊大哥..

一开始不就回答了，找一个port设定1.2.3.4/28另一port设定2.3.4.6重点是2网段的ISP要把1网段GW指向你的2.3.4.62.3.4.5上面要有1.2.3.0/28 2.3.4.6这一笔route只要外面网络有办法透过ISP把1.2.3.0/28送到你的Forti在Forti上面不管是要设定一个port用1.2.3.0/28网段还是把1.2.3.0/28拿来纯做NAT映射到内部网络都可以你一直在讲的"外面看不到"，就是ISP看有没有路由指回来不知道你在纠结什么就是XD

打岔一下,请教这种架构英文的专业术语是啥?

上面就有说了啊, routing mode

routing mode泛指的东西太多了吧... = =

就像光世代就是 bridge mode 一样,还能多狭窄?就是一种网络连接方式啊...

ip是ip、lan是lan，看过一堆把public ip当lan在用，还用的爽爽的isp固定ip也只是在subscriber上绑ip而已...光世代要说的复杂一点就是vll(last mile）+ subscriber(bras) + aaa(radius)至于vll要改叫e-line或vc，随你高兴XD

你 public ip 多就可以拿来当 lan 用啊...

你很勇敢就以用Public 拿来当 lan 用啊...

我要是随便都有 class c 以上可以用才能任性啊...

我自已就有4个Class C，勇敢申请下去吧

我很穷,租不起...