1. 環境，原架構（前人規劃
中華數據機接兩台防火牆
一台 Fortigate 100D 接辦公室網路
一台 Vigor 2950 接監視器設備
兩台除了Wan IP不同，Wan 的 GW/MA都一樣，因為是接同一台數據機
兩台的Lan IP/MA/GW也一樣
2. 參數設定
設定 Fortigate 虛擬IP和對應Port，完全參照 Vigor 2950的設定
https://i.imgur.com/BNawt6C.jpg
https://i.imgur.com/ssqR5I3.jpg
3. 切換設備
把 Vigor 的 Wan 和 Lan 線都拔掉
監視器設備改接到 Fortigate 後面的 L2 Switch
4. 測試
結果完全連不到，例如 WEB 畫面的 http://IP:81
檢查 Fortigate 的政策，該政策的流量 0KB
其它設備，不同的 Wan IP 的虛擬IP，是正常可以使用
有前輩遇過類似狀況嗎？需要注意哪些部份？

今天玩了硬體視訊 道理跟你差不多 服務設All allow沒用該開開對應的埠 就是要乖乖設上去 內對外外對內都要考慮做完立通 他沒這麼聰明幫你自己對應 你要告訴它規則

你監視器lan to wan的policy要設定NAT成監視器的對外ip因為沒看到詳細設定，建議你在FG上sniffer一下就知道問題看看封包wan跟lan的進出，目前推斷應該是設定有少的問題

100d應該可以直接在設備上抓封包，可以看看流量有沒有進來100D，應該是那個IP被咬住成舊設備的MAC，打去給ISP清MAC，不然就是要等一段時間MAC AGE時間到重新學到新MAC清MAC是ISP的設備要清，不是企業的設備清另外，針對外對內政策，開外對內方向就好，內對外的不用特別去開

先設到DMZ看有沒有正常，在找問題

完全連不到是連不到監視器嗎

監視器是uni還是multicast?

直接問 Vigor 客服啊

進來有設定,出去呢?有同意監控對外政策是開放?L2 SW架構是同一層VLAN?你可以先把居易對於監控的政策先丟出來看你不用去管對外IP,因為都是一樣的路由lan ip是同一區塊嗎? 192.168.0.X/24?forti的lan group有將port1納入,共用同一個lan setting?先把WAN TO LAN的CCTV改成ALL,看看外到內有沒有通

目的的cctv是群組？包含了4個內部ip？你要不要試著先設定目的的群組，改成一個內部ip的3個port為一個群組(ex:cctv1)，然後一條規則只設定對應到一個內部ip？5個內部設5個策略就好5個內部IP設5個策略就好，每個策略包含3個port

第六個IP只能居易用,是不是對端的arp沒清掉?請ISP清一下ARP看看能不能正常?

是的，我說的就是這樣的設定，清arp就是撥中華電信的客服，提供公司統編，地址，線路號碼或wan ip，讓客服幫你轉技術客服，然後請技術客服清arpt外，新年快樂，加班辛苦啦

上上面先搞清楚 MAC Address 跟 ARP 作用會比較好話說上週也有人問我為什麼PING 不到但網路都好的我直接問他知道 MAC Address 跟 Arp 的 MAC Address有什麼不同......

我用FG這麼久，還沒有同個policy設好幾個不同ip在一起過一來管理不清，二來policy是去比對ip的規格跟順序我猜同一條有不同ip可能會造成混亂，理論上應該設不進去

不解釋了，你本文中的Forti第二張圖policy設定，跟下面連結step3對一下差在哪goo.gl/R5vJjA

所以我剛用公司的測試一下，不同ip不同服務都設在同一條policy上，而且ip跟服務都是用群組，測試會通哩所以這樣設定是可以的，那你可能是版本或是原設定有誤吧後來我測試，原來答案是你服務不能設ALL啦

不過也不排除是ISP機房端真的咬住沒清掉，時間過了就好

不對，後來我設ALL可以，算了不測了，沒詳細設定測不出來

設了Virtual IP後 目的是設新設的Virtual IP名稱圖中的 目的CCTV 是Virtual IP的name嗎?還是只是Address清單的name?

你監視器lan to wan的policy要設定NAT成監視器的對外ip因為沒看到詳細設定，建議你在FG上sniffer一下就知道問題看看封包wan跟lan的進出，目前推斷應該是設定有少的問題

100d應該可以直接在設備上抓封包，可以看看流量有沒有進來100D，應該是那個IP被咬住成舊設備的MAC，打去給ISP清MAC，不然就是要等一段時間MAC AGE時間到重新學到新MAC清MAC是ISP的設備要清，不是企業的設備清另外，針對外對內政策，開外對內方向就好，內對外的不用特別去開

上上面先搞清楚 MAC Address 跟 ARP 作用會比較好話說上週也有人問我為什麼PING 不到但網路都好的我直接問他知道 MAC Address 跟 Arp 的 MAC Address有什麼不同......

我用FG這麼久，還沒有同個policy設好幾個不同ip在一起過一來管理不清，二來policy是去比對ip的規格跟順序我猜同一條有不同ip可能會造成混亂，理論上應該設不進去

不解釋了，你本文中的Forti第二張圖policy設定，跟下面連結step3對一下差在哪goo.gl/R5vJjA

所以我剛用公司的測試一下，不同ip不同服務都設在同一條policy上，而且ip跟服務都是用群組，測試會通哩所以這樣設定是可以的，那你可能是版本或是原設定有誤吧後來我測試，原來答案是你服務不能設ALL啦

不過也不排除是ISP機房端真的咬住沒清掉，時間過了就好

不對，後來我設ALL可以，算了不測了，沒詳細設定測不出來

設了Virtual IP後 目的是設新設的Virtual IP名稱圖中的 目的CCTV 是Virtual IP的name嗎?還是只是Address清單的name?

我不是要你直接先設ALL,不就知道訂的策略了雖然問題解了,不過當下明明可以快速判斷出外對內的問題不應該這種小問題要拖那麼久,設一下ALL,直接telnet看PORT立馬知道答案的東西,arp綁定,我是很少沒碰過這種案例內網比較有可能牽扯到VLB的問題

先設到DMZ看有沒有正常，在找問題

完全連不到是連不到監視器嗎

監視器是uni還是multicast?

直接問 Vigor 客服啊

進來有設定,出去呢?有同意監控對外政策是開放?L2 SW架構是同一層VLAN?你可以先把居易對於監控的政策先丟出來看你不用去管對外IP,因為都是一樣的路由lan ip是同一區塊嗎? 192.168.0.X/24?forti的lan group有將port1納入,共用同一個lan setting?先把WAN TO LAN的CCTV改成ALL,看看外到內有沒有通

目的的cctv是群組？包含了4個內部ip？你要不要試著先設定目的的群組，改成一個內部ip的3個port為一個群組(ex:cctv1)，然後一條規則只設定對應到一個內部ip？5個內部設5個策略就好5個內部IP設5個策略就好，每個策略包含3個port

第六個IP只能居易用,是不是對端的arp沒清掉?請ISP清一下ARP看看能不能正常?

是的，我說的就是這樣的設定，清arp就是撥中華電信的客服，提供公司統編，地址，線路號碼或wan ip，讓客服幫你轉技術客服，然後請技術客服清arpt外，新年快樂，加班辛苦啦

我不是要你直接先設ALL,不就知道訂的策略了雖然問題解了,不過當下明明可以快速判斷出外對內的問題不應該這種小問題要拖那麼久,設一下ALL,直接telnet看PORT立馬知道答案的東西,arp綁定,我是很少沒碰過這種案例內網比較有可能牽扯到VLB的問題