Fortigate PPPOE设定

先前学会设定Fortigate透明模式 但是那是ISP直接配发IP的方式 行的通我设定另一种网际网路的时候遇到了问题 那就是pppoe上网的方式我的需求是设备能够透过防火墙政策且能够检查流量 并且各自的设备能够自行pppoe拨号上网

会这样做的原因是1.装置能自己拨号很方便 经常下载东西或用什么网路服务的时候常常因为IP进行限制 这样可以直接换IP2.设备可以直接取得公网IP

我在网路上看到的教学都是让Fortigate pppoe上网 然后给内部设备上网我想让设备可以自行透过pppoe取得公网IP位址 不考虑性能问题 这样可行吗

3 个回答

• 旧至新
• 新至旧
• 最高Like数

2

mathewkl

iT邦高手 1 级 ‧ 2024-10-23 15:27:09

可以，但不建议，PPPOE通透后设备直接面对外网，那何苦装防火墙...

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Virtual-Wire-for-PPPoE-traffic/ta-p/269838
要做也不是不行，但你要先想好为何一定要装置自己拨号

• 
  6

看更多先前的...收起先前的...

yomojak811

iT邦新手 5 级 ‧
2024-10-23 15:30:24

虽然直接面对外网 但是Fortigate防火墙可以根据IPS特徵检查恶意流量 这就是会使用Fortigate防火墙的原因

虽然直接面对外网 但是Fortigate防火墙可以根据IPS特徵检查恶意流量 这就是会使用Fortigate防火墙的原因

修改

yomojak811

iT邦新手 5 级 ‧
2024-10-23 15:38:04

1.装置能自己拨号很方便 经常下载东西或用什么网路服务的时候常常因为IP进行限制 这样可以直接换IP 2.设备可以直接取得公网IP

1.装置能自己拨号很方便 经常下载东西或用什么网路服务的时候常常因为IP进行限制 这样可以直接换IP 2.设备可以直接取得公网IP

修改

yomojak811

iT邦新手 5 级 ‧
2024-10-23 15:49:38

你给的这个文章 上面有提到防火墙策略无法识别 我需要能够识别

你给的这个文章 上面有提到防火墙策略无法识别 我需要能够识别

修改

mathewkl

iT邦高手 1 级 ‧
2024-10-23 16:00:31

因为不passthrough就不会通了，然后都passthrough了怎么会检测呢

因为不passthrough就不会通了，然后都passthrough了怎么会检测呢

修改

yomojak811

iT邦新手 5 级 ‧
2024-10-23 16:29:35

我已经查到了 Fortigate没办法检查 PPPoE封装流量

我已经查到了 Fortigate没办法检查 PPPoE封装流量

修改

mytiny

iT邦超人 1 级 ‧
2024-10-24 10:11:06

这个解答是不对的，如果没有实际用过
那么网上找的资料，最好先测试过一次
FortiGate cannot recognize the packets encapsulated in PPP which is a Layer 2 protocol between two routers directly without any host or any other networking in between

这个解答是不对的，如果没有实际用过<br /> 那么网上找的资料，最好先测试过一次<br /> FortiGate cannot recognize the packets encapsulated in PPP which is a Layer 2 protocol between two routers directly without any host or any other networking in between

修改

1

mytiny

iT邦超人 1 级 ‧ 2024-10-24 10:18:25

用透通模式想让fortigate检核通过的data是不行的
还试过前面多加一台fortigate也不成功

FortiGate cannot recognize the packets encapsulated in PPP which is a Layer 2 protocol between two routers directly without any host or any other networking in between.

这题想要做到效果需要用SD-WAN的功能
Fortigate SD-WAN支援PPPoE拨接
可以做出类似多拨系统的效果
以前有替某游戏玩家搞过
目前也有几个site採用中

• 
  4

看更多先前的...收起先前的...

yomojak811

iT邦新手 5 级 ‧
2024-10-24 10:53:12

但是设定SD-WAN还是不能解决 让Fortigate直接检查pppoe流量吧?

但是设定SD-WAN还是不能解决 让Fortigate直接检查pppoe流量吧?

修改

mytiny

iT邦超人 1 级 ‧
2024-10-25 09:46:10

如果熟悉Fortigate的SNAT及DNAT
就可以做到，也可以分流

如果熟悉Fortigate的SNAT及DNAT<br /> 就可以做到，也可以分流

修改

yomojak811

iT邦新手 5 级 ‧
2024-10-25 10:10:30

网路转址是不是设备只能看到内部IP连进来 而不是实际的外部IP连进来

网路转址是不是设备只能看到内部IP连进来 而不是实际的外部IP连进来

修改

mytiny

iT邦超人 1 级 ‧
2024-10-25 10:17:54

当然可以看到外部IP
但是内转内这个叫Hairpin NAT
FortiOS 7.2.6以后有改动

当然可以看到外部IP<br /> 但是内转内这个叫Hairpin NAT<br /> FortiOS 7.2.6以后有改动<br />

修改

0

bluegrass

iT邦高手 1 级 ‧ 2024-10-25 14:11:08

你要求有点怪怪, 那要防火墙的干嘛-,-

你FORTIGATE接PPPOE拨号再搞MIP VIRTUAL IP指向你指定PC就可以啦-.-