W firmie której pracuję, posiadamy serwery www, pocztowe, itp. Dobrą praktyką jest aby serwery posiadały przypisane na stałe adresy ip. W Fortigate robimy to w następujący sposób:

  1. Wchodzimy w Network -> Interfaces -> Port x (VLAN x)
  2. Rozwijamy zakładkę Advenced -> IP Address Assignment Rule i tam przypisujemy stały adres ip podając również mac-adress

W pracy posiadamy dwa łącza od różnych operatorów. Jeden operator (nazwijmy go x) przydziela nam jeden stały adres IP natomiast drugi operator (nazwijmy go y) przydziela nam 4 stałe adresy IP. Całość jest spięta w SD-WAN.

Zaszła potrzeba aby jeden z komputerów był widoczny z adresacji drugiego operatora i z powiedzmy mało technicznie 3 stałego adresu IP. Na fortigate musimy zatem wykonać kilka czynności:

  • Wchodzimy w zakładkę Policy & Objects -> Virtual IP -> Create Virtual IP i tam robimy następujące wpisy:

Interface: wybieramy przez którego operatora ma iść sieć

External IP address/range: wpisujemy publiczny adres ip z np. 3 stałego adresu ip

Mapped IP address/range: wpisujemy adres ip komputera lokalnego

  • Kolejnym punktem który musimy wykonać to w zakładce Policy & Objects -> Firewall Policy -> Create New tworzymy następujące wpisy:

Incoming Interface: w moim przypadku był to SDWAN

Outgoing Interface: VLANx (czyli VLAN w którym znajduje się nasz komputer)

Source: all

Destination: to co stworzyliśmy w VIP powyżej

Service: na moje potrzeby były to HTTP i HTTPS (czyli porty które chciałem odblokować)

NAT odhaczamy aby nie był aktywny

  1. Ostatnim naszym zadaniem jest konfiguracja Network -> Policy Routes -> Create New

Incoming interface: VLANx (czyli VLAN w którym znajduje się nasz komputer)

Addresses: adres ip naszego komputera

Action: Forward Traffic

Outgoing interface: wybieramy operatora y