其他局域网段的内部映射IP (fortigate)

Question

我有两个局域网

• LAN 1- 192.168.250.0/24
• LAN 2- 192.168.21.0/24

有一种方法可以使用静态NAT将IP映射为192.168.21.1到LAN1的IP ( 192.168.250.1?

)

这对于使用LAN1的IP访问某些LAN2 IP至关重要。我正在使用fortigate 30d (LAN1和LAN2接口)进行测试。

我做了：

• 创建IPv4策略以允许LAN1访问LAN2子网的子网(不启用NAT选项)。我不知道这个选项是怎么回事。如果它的PAT或动态NAT或其他什么。)
• 在接口LAN1上创建虚拟IP，以使用映射到LAN2本身的IP的外部IP。

使用wireshark，我没有看到任何流量被翻译。我是不是遗漏了什么？

Answer 1

您计划做的是所谓的“目的NAT"，在FortiOS中，这是通过‘虚拟in’(VIPs)完成的。

创建这样的VIP

名称: dnat_LAN2_to_LAN1外部接口: LAN2

外部IP: 192.168.21.10 (例如)

映射IP: 192.168.250.23 (例如)

端口转发:未启用

2-制定一项政策

源接口: LAN2

来源地址: LAN2_subnet

目标接口: LAN1

目的地地址: dnat_LAN2_to_LAN1

服务，时间表:您喜欢

NAT:未启用

现在可以在LAN1上使用IP 192.168.21.10在LAN2上ping 192.168.250.23。

如果您想要映射几个IP：

• 您可以创建多个贵宾，并将其放入“VIP组”，并将其用于策略中，或

• 您可以定义一个“外部”地址的范围，然后将其映射到“映射到”范围。

请注意，您不必将LAN1源地址转换为完全“伪装”LAN2地址--即使是来自LAN1的流量，VIP也会自动完成这一任务。