大家好，請教有關 forigate firewall 的設定問題

forigate - 60b 3.0MR

a isp :59.59.59.59
b isp :60.60.60.60

other router set
router ip: wan1 60.60.60.60 int1 192.168.200.253/24

forigate - 60b 3.0MR set
wan1 ip : 59.59.59.59/24 gateway 59.59.59.254
internal ip: 192.168.200.254/24
dmz alias name `phone` ip 192.168.100.0/24
pptp server enable , ip 192.168.100.200-230


a-server ip:192.168.200.100 /24 192.168.200.253
b-server ip:192.168.200.200 /24 192.168.200.254



1. internal(192.168.200.0/24) nat to wan1(59.59.59.59) # internal用戶使用nat 通過wan1 去上網。

2. wan1(pptp192.168.100.200-230) to phone(192.168.100.0/24) # vpn-client 用戶可以與 phone網段通訊。

3. wan1(pptp192.168.100.200-230) nat to wan1(59.59.59.59) # vpn-client 用戶可以通用nat 從wan1 去上網。

4. wan1(all) nat to internal(192.168.200.0/24) # vpn-client用戶可以透過路由與internal 用戶通訊。


測試：

不勾 nat | vpn-client tracert -d 192.168.200.253 , ping 得到，但無法連接 server gateway 是 192.168.200.253 設備。
勾 nat | vpn-client tracert -d 192.168.200.253 , ping 得到，但也連接得到 server gateway 是 192.168.200.253 設備。


我有疑惑的是第4點，為何 vpn-client用戶 要與 ineternal 用戶通訊時還需要做一次nat 而不是透過路由直接通訊呢？

另外 dmz port 本身會有帶功能設定嗎？還是它只是視覺辨視，功能還是自己要定義，那nat 一定要勾fixed port 嗎？

勾了 fixed port 有什麼問題？

謝謝各位。

我有疑惑的是第4點，為何 vpn-client用戶 要與 ineternal 用戶通訊時還需要做一次nat 而不是透過路由直接通訊呢？
>>正常~ 只要IP/Subnet不一樣，但要透個一個像「代表號IP」去進行2邊的通訊時,就要勾NAT。

另外 dmz port 本身會有帶功能設定嗎？還是它只是視覺辨視，功能還是自己要定義，那nat 一定要勾fixed port 嗎？
>>只是視覺辨視，設定要自己來~

勾了 fixed port 有什麼問題？
>>不會有甚麼問題，好像只是固定由某個IP出去吧~