一、事件场景
分公司业务部新增一台数据采集器,需要接入DMZ网络,开放所需端口,由于采集器没有提供说明参数,只能在FortiOS中查看实际流量会话使用的端口号,因为分支办公室,仅有一台数据采集器,所以采用默认的VIP方式,直接添加后,配置放行策略。
二、故障现象
内部网络组中所有设备访问外网正常,策略组执行正常,新增的数据采集器在所属控制台显示状态正常,但是IT管理员无法远程访问FortiGate 7.0 FGT控制台。
三、故障排除
1.检查分支公司的网络ddns服务是否正常
结果:无异常
nslookup
server 223.5.5.5
经过解析,DDNS动态解析对应的IP地址正常,符合实际参数。
2.检测分支公司的外网FortiGate FW开放的端口号,是否开放。
结果:端口关闭,异常
扫描端口时因为有延时,可以多试几次,间隔几分钟。
3.检查FortiGate FW 中接口设置、系统管理设置
结果:无异常
show system interface port1
get router info routing-table all
4.检查FortiGate FW中放行策略,进行diagnose抓取
结果:异常
diagnose debug enable
diagnose debug flow filter addr xxx.xxx.xxx.xxx
diagnose debug flow show function-name enable
diagnose debug flow trace start 100
涉密信息,不展示,信息显示系统访问后,数据流都被转向内网中数据采集器,也就是说数据采集器独占了分支公司的外网IP的所有映射端口,包括FortiGate自身的访问流量。
四、故障清除
1.禁用网络策略中涉及数据采集器的策略
2.修改VIP配置,单独创建对应的多条IP与端口映射策略
3.在IPV4策略中关联新增的多条VIP策略,替换原策略并启用
故障清除,FortiGate FW远程访问恢复,修复完成。