SDX

近期要设定两地办公室的分机共用，SDX-500已装DSP卡与授权将话机接到数据机下，测试两边分机可以互通。现在要改接到Fortinet底下。经询问厂商只要开以下PORT即可因为该话机没有WAN PORT，所以用MGMT作原本设定：MGMT=WAN 主机直接对外，可以通更改设定：MGMT=DMZ MGMT指定PRIVATE DMZ IP 并透过防火墙转PUBLICFortinet虚拟IP：WAN 指定PORT 转 DMZ 指定PORTFortinet 政策：WAN to DMZ all PORT

以上设定后测试还是无法，因为怕被盗打希望话机不要直接对外。请问有人用类似的设定吗?

3 个回答

• 旧至新
• 新至旧
• 最高Like数

0

bluegrass

iT邦高手 1 级 ‧ 2024-12-18 11:35:09

Fortinet虚拟IP是一个 OBJECT
这个OBJECT要放到你 Fortinet 政策 的DESTINATION 中才会有效
Fortinet虚拟IP假设名子是 "VIP-WAN2DMZPort123"

Fortinet 政策：
名子:"WAN to DMZ"
SOURCE ADDRESS: "ALL"
DESTINATION ADDRESS: "VIP-WAN2DMZPort123"
Service: Any [恩, 建议收紧]
ACTION: ALLOW
NAT: NO

• 
  3

好熊宝

iT邦新手 3 级 ‧
2024-12-18 16:20:01

要开的PORT真的太多了..

要开的PORT真的太多了..<br />

修改

bluegrass

iT邦高手 1 级 ‧
2024-12-19 15:19:57

如果你WAN IP只给那个设备用, 你可以考虑整个WAN MAP 到那个设备上

再在POLICY上限制要放行的PORT 就可以了

或在 Fortinet虚拟IP 上套用SERVICE FILTER 也可以

如果你WAN IP只给那个设备用, 你可以考虑整个WAN MAP 到那个设备上</p> <p>再在POLICY上限制要放行的PORT 就可以了</p> <p>或在 Fortinet虚拟IP 上套用SERVICE FILTER 也可以

修改

好熊宝

iT邦新手 3 级 ‧
2024-12-20 16:55:13

採用限定来源IP的方式指定VIP，目前测试两边可互通。
应该是有使用到额外的PORT

採用限定来源IP的方式指定VIP，目前测试两边可互通。<br /> 应该是有使用到额外的PORT

修改

0

mytiny

iT邦超人 1 级 ‧ 2024-12-18 20:36:52

之前话机有接到数据机之下
所以应该有用到一个实体IP

现在放到防火墙之后
直接将该IP做成VIP对应
所有service port可直接对应

资安防护限制来源IP及开启资安检核就好
但是通话使用会不会正常就难说了
应该找电话及防火墙的厂商一起来现场处理到好
要MIS能应付所有状况不太容易
如果厂商不肯来就是规範没订好
当然更可能是钱付的不够
那还是照原来方式继续接吧

0

stgtv32100

iT邦新手 4 级 ‧ 2024-12-23 16:33:07

您可以参考下方FortiGate的文档，当启用NAT时需使用下方三个选项之一。

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Disabling-VoIP-Inspection/ta-p/194131

我这边的状况是照文档由session-helper移除SIP，并把ALG MODE切换成kernel-helper-based就有声音了。