问题[fortigate](server)

当前环境：

我们目前有 2 个远程站点，它们都有自己的 LAN 子网和托管在每个站点上的服务器。目前，每个站点都为客户端和服务器使用 1 个子网。两个站点通过 ISP 提供的 LAN 扩展直接相互连接。两个站点之间存在连接，服务器/客户端都可以相互通信。

问题：

当我们将虚拟服务器从一个站点迁移到另一个站点时，我们必须更改移动的每台服务器的 IP 地址以反映目标子网。我知道 DHCP 可以处理这个问题，但我想保持 IP 地址相同，无论服务器位于哪个站点。这也增加了迁移过程的步骤

是否可以在两个站点上创建一个具有相同子网信息的 VLAN 并将服务器放在该 VLAN 中？我知道如何为单个站点执行此操作，但是如果将 Server1 @ Site 1 (192.168.50.20) 移动到站点 2 会怎样？路由器如何知道将 Server1 的流量路由到哪里？静态路由只是将流量定向到网关，如果有 2 个具有相同网络配置的子网，如果该网关网络中不存在尝试路由流量的 IP，路由器如何知道将流量路由到哪里？

我们在每个站点使用 FortiGate 51E，在每个站点使用 FortiSwitch 248D。两种环境都有 ESXi 6.7 服务器。

下面是我想要的环境图片。

我目前正在尝试设置 FortiGate 40F 防火墙。但不知何故，我无法通过外部 IP 或域从同一网络访问服务器。

我为网络服务器设置了一个 VLAN 为 10.0.4.x。因此，网络服务器的内部 IP 是 10.0.4.2 ，外部 IP 是 85.25.160.200 ，我设置了一个 A 记录来访问www.example.com的 IP 。但是，当我在与另一台机器或服务器连接的同一网络（10.0.4.x）上时，我无法连接到www.example.com或 85.25.160.200。虽然它可以通过不同的网络完美运行。

我得到了一个从 85.25.160.200(wan) 到 10.0.4.2(VLAN) 的虚拟 IP。传入和传出流量的策略设置为 HTTP/HTTPS 和 DNS。

我觉得我错过了防​​火墙中的某个设置。

我该如何解决这个问题？

另外，我实际上是一名软件工程师而不是网络工程师。

我正在运行 Azure VPN 网关（VpnGw1、gen1、基于路由）并尝试将 S2S 连接连接到 Fortigate 网关。连接每隔几个小时就会失去连接，我想知道是否可以关闭重放检测作为可能的解决方案。

据我所知，这是默认启用的（我假设是出于安全原因），但我找不到设置（通过 powershell）来关闭它。如果这在我的 gen1 网关上是不可能的，那么在 gen2、基于策略的或其他 SKU 上是否可以？

我有一个运行 FortiOS 5.4.x 的 Fortigate 产品，但我无法缓解Sweet32 漏洞。

我已经为 Beast & Crime 启用了高安全性算法并禁用了 SSL3 / TLS1.0，如下所示。

config system global 
  set strong-crypto enable 
  end

config vpn ssl setting 
   set sslv3 disable 
   set tls1-0 disable 

我该如何解决这个问题？

我想从 fortiet/fortigate 设备获取数据包捕获，以在其接口之一上捕获来自它的所有流量。为此，我启用了 sflow 并将其发送到另一个 ntopng 服务器。但是在 ntopng 上，我可以看到 sflow 数据，但是有什么方法可以将这些数据转换/转储为 pcap 格式？因为我需要 pcap 中的数据来分析它。

我可以将数据导出到 json，但是我们可以将 sflow 转换为 pcap 吗？

我在防火墙（硬件路由器）上设置 DMZ 端口时遇到问题。我还假设这属于超级用户，因为它看起来像是一个基本的 DMZ 设置。这是设置：

我有一个Fortigate 90D防火墙 ( FortiOS 5.4) 设置，其中 2 个 WAN 端口被不同的 ISP 使用。LAN 端口都用于我们的内部网络，除了 1 用作 DMZ 端口。

我正在尝试将 1 LAN 端口更改为 DMZ 端口，这样我们就可以使用不连接到我们内部网络的 WiFi 路由器。WiFi路由器是一个LinkSys EA2700（http://www.linksys.com/us/p/P-EA2700/），但我最终遇到的问题是LinkSys路由器将连接到防火墙，而不是互联网。

这是我能找到但没有用的：

1. 将端口设置为 DMZ（取出内部并放入名为 DMZ 的区域）并且该区域设置为阻止Intra-Zone Traffic（选中框）
2. 使用地址 (IE 172.16.0.254/255.255.255.0) 和角色 DMZ 设置端口（在网络 > 接口中）（DHCP 应由 LinkSys 处理）
3. 使用带有外部 IP 和映射 IP 的 WAN 接口设置虚拟 IP（外部 IP 是公共互联网 IP，映射 IP 是172.16.0.254在 DMZ 接口上设置的）
4. 设置防火墙策略以允许流量从 WAN 进来并通过 DMZ 出去，并将目标地址设置为虚拟 IP（NAT 已关闭）
5. LinkSys 已插入 DMZ 端口，仅用于带 DHCP 的 WiFi
6. Internet 设置设置为：172.16.0.1/255.255.255.0网关和 DNS：172.16.0.254
7. 本地网络设置为：172.16.1.1/255.255.255.0启用 DHCP 并设置为使用静态 DNS 172.16.1.1（也启用了 NAT）

使用此设置，请记住设备的连接方式如下：调制解调器 -> Fortigate FW -> LinkSys Wifi 路由器。

其他端口工作正常，但连接到 Wifi 路由器时，我可以 ping 172.16.1.1、172.16.0.1、172.16.0.254 和公共 ip（在虚拟 IP 中设置）正常。我还尝试将虚拟 IP 设置为指向 172.16.0.1 而不是 254，但没有变化。

在 Fortigate 上，我可以跟踪从 DMZ 接口发送的数据包，并在我尝试 ping 8.8.8.8 时显示172.16.0.1 -> 8.8.8.8 icmp: echo request。我从来没有看到从 8.8.8.8 -> 172.16.0.1/254 发生任何事情。

我知道防火墙似乎正在阻止流量，但我不知道这是否是我遗漏或未正确配置的东西。