我有一个5公共IP地址范围。 (即:1.1.1.1至1.1.1.5)
我想以一种VPN路由器(RV082)通过它连接并透明地响应的方式将第一个端口分配给端口1。
我想分配其余的每个后续端口的NAT。 (即:端口2 1.1.1.2)
我怎么能做到这一点?
编辑:
networking拓扑结构:
WAN以太网电缆连接到FortiGate 100D上的WAN1,configuration为具有NAT的路由器,用于第一个IP xx.xx.xx.1
WAN公共IP范围包含5个IP地址(xx.xx.xx.1 o 5)
我有一个RV082作为networking的路由器使用IP xx.xx.xx.1插入,但是在接收到100D Fortigate之后,我将其插入networking的主要控制设备,以分配5个不同的WAN IP地址透明地连接到不同的端口,例如RV082可以像以前那样连接,而100D上的其他端口可以与不同的IP一起使用
我假设你想继续在IP地址1.1.1.1上寻址你的VPN网关,因为你不想对每一个客户端configuration进行修改。 如果是这种情况,那么您将不得不使用端口转发将stream量转发到VPN设备。 下面的示例是转发IPsec(UDP / 500),但您可以调整它以转发SSL等。请注意,您的VPN设备可能还需要启用NAT-T以使IKEstream量穿越防火墙。
下面的例子假设你的VPN设备已经插入了防火墙的内部交换机端口之一,但是你可以根据需要调整接口名称(我还没有testing过这个configuration)。
config system interface edit "wan1" set ip 1.1.1.1 255.255.255.248 ... next ... edit "internal" set ip 192.168.1.254 255.255.255.0 ... next end config router static edit XX set device "wan1" set gateway 1.1.1.6 #your Internet gateway IP next ... end
config firewall vip edit "VIP_IPsec" set extintf "wan1" set portforward enable set mappedip 192.168.1.1 #internal IP assigned to your RV082 set protocol udp set extport 500 set mappedport 500 next ... end
config firewall policy edit XX set srcintf "internal" set dstintf "wan1" set srcaddr "ip_192.168.1.1" set dstaddr "all" set action accept set schedule "always" set service "ALL" set nat enable next edit XX set srcintf "wan1" set dstintf "internal" set srcaddr "all" set dstaddr "VIP_IPsec" set action accept set schedule "always" set service "ALL" next ... end
一旦你这样做了,理论上防火墙就会把1.1.1.1:500上的所有请求都转发给VPN设备,而反向通信将会从1.1.1.1转换到NAT。
看看你如何去与..
– ab1
PS不知道你是否考虑过这一点,但是你的Fortigate防火墙可以说比Linksys设备具有更高级的VPNfunction,而且它可能会迁移..