vxr wrote:
你可以先把edit...(恕刪)
其實我看到我有Poliy route 的時候就有發現跟您的debug flow 不太一樣了 我有嘗試去刪除 但是發現仍然不行
我晚點刪除後,再把debug flow給您參考看看
vxr wrote:
請問你相關的VIP...(恕刪)
請問您說的是這個嗎?
edit 18
set srcintf "wan1"
set dstintf "internal"
set srcaddr "all"
set dstaddr "mail"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
next
edit 19
set srcintf "wan2"
set dstintf "internal"
set srcaddr "all"
set dstaddr "mail2"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
vxr wrote:
不要將VIP的interface...(恕刪)
其實我一開始 也是選定為WAN1 & WAN2 但是從內部直接連線到WAN Interface Public IP 的NAT就是無法生效
所以我就參考以下這篇
http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD36657&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=8418182&stateId=0%200%2073088281
上面有提到要把VIP Interface 選成Any 才可以設定生效
晚點我再把設定參數改回來看看 並且在測試一下
vxr wrote:
KB那篇文章確實解...(恕刪)
自問自答 我已經解決這個問題了
1.一開始使我不清楚Policy Route & Static Route 之間的關係
2.default route 的priority 也會有關係
3.我在L3的環境 我找了兩個環境測試 我確定要使用 Internal to Internal DNAT 設定既可解決 我沒有辦法單獨靠WAN to Internal 的DNAT來解決
我的diag debug flow
id=20085 trace_id=859 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=6, 192.168.10.41:51905->59.124.X.100:25) from internal. flag [S], seq 2570520665, ack 0, win 8192"
id=20085 trace_id=859 func=init_ip_session_common line=4569 msg="allocate a new session-000c7e25"
id=20085 trace_id=859 func=fw_pre_route_handler line=176 msg="VIP-192.168.10.5:25, outdev-internal"
id=20085 trace_id=859 func=__ip_session_run_tuple line=2564 msg="DNAT 59.124.X.100:25->192.168.10.5:25"
id=20085 trace_id=859 func=vf_ip4_route_input line=1586 msg="Match policy routing: to 192.168.1.254 via ifindex-11"
id=20085 trace_id=859 func=vf_ip4_route_input line=1596 msg="find a route: flags=00000000 gw-192.168.1.254 via internal"
id=20085 trace_id=859 func=fw_forward_handler line=671 msg="Allowed by Policy-22: SNAT"
id=20085 trace_id=859 func=__ip_session_run_tuple line=2550 msg="SNAT 192.168.10.41->192.168.1.1:51905"
Policy-22 這條就是我的Internal to Internal Policy
請參考,謝謝
prottos2003 wrote:
自問自答 我已經...(恕刪)
我再補充一下
可以看我之前的flow 問題的確在於它policy route 往59.124.X.97丟 但此時路由應該要往 192.168.1.254 丟才正確
所以我應該把往192.168.10.0/24 via 192.168.1.254 設定在policy route 上就解決了 (之前這條規則設定在Static Route)
id=20085 trace_id=79 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=6, 192.168.10.41:51646->59.124.X.100:25) from internal. flag [S], seq 3176403577, ack 0, win 8192"
id=20085 trace_id=79 func=init_ip_session_common line=4569 msg="allocate a new session-0035a504"
id=20085 trace_id=79 func=fw_pre_route_handler line=176 msg="VIP-192.168.10.5:25, outdev-internal"
id=20085 trace_id=79 func=__ip_session_run_tuple line=2564 msg="DNAT 59.124.X.100:25->192.168.10.5:25"
id=20085 trace_id=79 func=vf_ip4_route_input line=1586 msg="Match policy routing: to 59.124.X.97 via ifindex-4"
id=20085 trace_id=79 func=vf_ip4_route_input line=1596 msg="find a route: flags=00000000 gw-59.124.X.97 via wan1"
id=20085 trace_id=79 func=fw_forward_handler line=546 msg="Denied by forward policy check (policy 0)"
結論diag debug flow 真的很好用,非常感謝你的提示,謝謝
PS:以下連結是diag debug flow 詳細說明
http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%205.0%20Help/VDOM-probs.181.14.html
內文搜尋
從 APP 打開
X