宽带篇(7.0) ❀ 02. 怎样配置路由器上网？

Posted 2021-08-21 meigang2012

　　我们知道FortiGate防火墙可以直接使用ADSL拨号宽带，而且拨号生成的公网地址可以用来远程访问、VPN连接、映射服务器等等。但是如果拨号生成的地址是100.64开头，那么是不可以远程访问的。

　　如果你有多条宽带，或者不需要远程、映射等，只是纯上网的话，建议ADSL拨号宽带使用路由器或光猫拨号，然后防火墙通过路由器或光猫直接上网。这是因为相对于路由器拨号来说，防火墙PPPoE拨号会损失一定的上网速度。

 这里以小米路由器为例，用浏览器登录小米路由器，输入登录密码，点击【>】。

 　　① 进入主界面后，选择【常用设置】-【上网设置】。

　　② 在上网设置那里选择上网方式为【PPPoE】，输入上网帐号和密码，选择【自动配置】。将路由器的Wan口接在光猫上，拨号成功后，可以在上方看到IP地址、子网掩码、网关和DNS。是不是和防火墙的PPPoE拨号得到的结果很相似？

　　③ 选择菜单【局域网设置】，确定局域网IP地址，也就是路由器的内网IP地址，启用DHCP服务。一切就是这么简单，路由器可以上网了。

 将路由器的内网连接防火墙的port1口，这里我们将port1口设置为宽带Wan口。登录防火墙，选择菜单【网络】-【接口】，选择port1接口，点击【编辑】。

　　① 输入port1接口的别名，角色选择【WAN】，接口模式选择【DHCP】的，在确认之前不会有什么变化，所以点击【确认】。

　　② 再次编辑port1，就可以看到DHCP已经获取到IP、网关和DNS了，网关和DNS都是指向路由器的内网接口。 

　　③ 选择菜单【网络】-【DNS】，可以看到动态获得的DNS服务器是路由器内网接口IP。

 　　④ 选择菜单【网络】-【静态路由】，默认是没有内容的。

　　⑤ 选择菜单【仪表板】-【Network】，选择路由小窗口，可以看到自动生成一条指向路由器内网IP的默认路由。是不是和PPPoE拨号很像？

 防火墙的Wan口配置完成后，我们再来配置内网接口，这里将port5设置为内网接口，在接口菜单，选择port5，点击【编辑】。

　　① 输入接口别名，接口模式选择手动，输入防火墙内网接口IP，如果要从这个接口Ping或者是登录防火墙，管理访问里可以启用HTTPS和PING。

　　② 启用DHCP服务器，都用默认选项，DNS默认为与系统DNS相同，我们在配置防火墙ADSL拨号上网时已经知道，会得到DNS窗口里显示的公网IP地址。但这次DNS窗口显示的是路由器内网接口地址，那么最终会获得哪个DNS IP呢？

　　③ 接入电脑网线到port5接口，自动获取IP地址，最后我们得到两个不太熟悉的DNS服务器IP地址，这是哪里来的？

　　④ 通过内网接口IP登录防火墙，选择菜单【网络】-【DNS】，可以看到原来DHCP得到的DNS服务器IP地址是防火墙默认的【使用FortiGuard服务器】的主备DNS服务器IP。这两个DNS服务器IP的主要作用是使防火墙能连接到FortiGuard服务器，并不是我们上网常用的DNS服务器，那么我们上网用的DNS在哪里能看到？

　　⑤ 还记得在路由器里设置宽带时得到的DNS地址吧，120.196.165.24和211.136.192.6，这两个地址就是深圳移动的DNS服务器IP地址了。

　　⑥ 再次编辑port5内网接口，DHCP服务器选项里的，将DNS服务器设置为指定，然后输入两个深圳移动的DNS服务器IP。

　　⑦ 为了让网卡重新获得正确的DNS，我们先禁用网卡。

　　⑧ 然后再启用网卡。

　　⑨ 经过小小的插曲，终于使电脑自动获得正确的DNS服务器IP了。

 宽带接口和内网接口都配置完后，下面可以配置上网策略了。在防火墙上选择菜单【策略&对象】-【防火墙策略】，点击【新建】，部分防火墙有默认建立一条上网策略，也可以直接修改这条默认上网策略。

　　① 输入策略名称，流入接口选择port5，流出接口选择port1，源地址、目标地址、服务都选择ALL，启用NAT。记住：上网策略必须启用NAT。点击【确认】。

　　② 上网策略会在列表里显示。打开浏览器就可以正常上网了。

　　③ 在DOS命令窗口用tracert命令跟踪路由，第一跳是到达防火墙内网，第二跳是到达路由器内网，第三跳是到ADSL拨号宽带的网关。说明上网是先经过防火墙，再经过路由器，最过经过光猫出去的。

---