admin 08/01/2026

Publish dịch vụ đa WAN trên FortiGate - VIP/DNAT đúng cách khi có 2 ISP

Fortigate NAMHI | Giai đoạn 3 | Bài 16

🚪 Publish dịch vụ đa WAN trên FortiGate – VIP/DNAT & Inbound Policy đúng cách khi có 2 ISP

Có 2 đường Internet mà publish camera/server/web không đúng thì sẽ gặp đúng một kiểu đau đầu: WAN1 truy cập được, WAN2 không được hoặc đổi WAN là “mất truy cập”. Bài này là hướng dẫn kiểu triển khai thực tế của NAMHI: cấu hình VIP/DNAT theo từng WAN, viết policy inbound đúng hướng, và test failover để bàn giao “mượt” cho khách.

⏱️ 45–75 phút 🎯 Level: Trung cấp 🧰 Dành cho: IT triển khai / vận hành

⬅️ Bài 15: SD-WAN nâng cao ➡️ Đi tới Bài 17: DNS & AD/Domain

🧭 Nguyên tắc vàng khi publish đa WAN

Khi doanh nghiệp có 2 ISP, bạn phải coi mỗi đường WAN như một “cửa vào” độc lập. Vì vậy, cấu hình đúng nhất là: mỗi WAN có VIP riêng và mỗi WAN có policy inbound riêng.

✅ Nên làm

Tạo VIP_WAN1 (interface WAN1)
Tạo VIP_WAN2 (interface WAN2)
2 inbound policies tách riêng theo WAN

❌ Tránh

Dùng 1 VIP cho cả 2 WAN
Policy inbound incoming-interface không đúng WAN
Thêm NAT trong policy inbound (DNAT đã xử lý)

⚠️ 80% lỗi publish đa WAN nằm ở: VIP sai interface hoặc policy inbound match sai hướng.

📋 Checklist trước khi cấu hình

✅ Public IP

Xác nhận IP public từng WAN

WAN1/WAN2 có public IP tĩnh hay dynamic? Có bị CGNAT không? (CGNAT thì inbound sẽ không publish được).

Nếu ISP cấp CGNAT, phải xin public IP hoặc dùng giải pháp khác.

✅ Server ready

Server nội bộ có IP cố định

IP server/camera/NVR phải cố định, service port rõ (HTTPS/HTTP/RTSP/RDP...).

Đừng publish khi server còn DHCP “trôi”.

✅ Security

Giới hạn truy cập từ Internet

Chuẩn bị allow-list IP, geo, hoặc 2FA/VPN nếu là dịch vụ nhạy (RDP/SSH/Management).

Publish “trần” dễ bị scan và brute-force.

💡 NAMHI khuyến nghị: dịch vụ quản trị (RDP/SSH) ưu tiên đi VPN hơn là mở thẳng Internet.

1️⃣ Thiết kế mô hình publish đa WAN

WAN1 (ISP chính)

Public IP: A.A.A.A
VIP_WAN1: A.A.A.A:port → Server_LAN:port
Inbound policy: WAN1 → LAN (dst = VIP_WAN1)

WAN2 (ISP dự phòng)

Public IP: B.B.B.B
VIP_WAN2: B.B.B.B:port → Server_LAN:port
Inbound policy: WAN2 → LAN (dst = VIP_WAN2)

⚠️ “Đa WAN” không có nghĩa là 1 VIP tự chạy được cả 2 đường. Mỗi đường là 1 cửa, phải khai báo riêng.

2️⃣ Tạo VIP/DNAT cho từng WAN

Bước 1

Create VIP_WAN1

Policy & Objects → Virtual IPs → Create New
Interface: WAN1
External IP: Public IP WAN1
Mapped IP: IP server nội bộ
Port Forwarding: enable (nếu chỉ publish 1 port/service)

Bước 2

Create VIP_WAN2

Interface: WAN2
External IP: Public IP WAN2
Mapped IP: cùng server nội bộ
Port Forwarding: giống VIP_WAN1

💡 Một server có thể có nhiều VIP. Quan trọng là mỗi VIP gắn đúng interface WAN.

3️⃣ Inbound Firewall Policy theo từng WAN

➡️ Policy 1: WAN1 → LAN

Incoming: WAN1
Outgoing: LAN/Server VLAN
Source: Internet (hoặc allow-list IP)
Destination: VIP_WAN1
Service: đúng port (HTTPS/RTSP...)
NAT: Disable
Log Allowed Traffic: Enable

➡️ Policy 2: WAN2 → LAN

Incoming: WAN2
Destination: VIP_WAN2
Các phần còn lại tương tự policy 1
NAT: Disable

⚠️ Inbound policy mà bật NAT thêm lần nữa là lỗi kinh điển: DNAT đã làm việc ở VIP.

4️⃣ Route/SD-WAN có ảnh hưởng inbound không?

Với inbound traffic qua VIP, FortiGate sẽ DNAT tới server nội bộ. Tuy nhiên, bạn cần đảm bảo: server reply ra đúng hướng (thường là default gateway trỏ về FortiGate).

💡 Nếu server có gateway khác FortiGate, reply có thể “đi lạc”, gây tình trạng truy cập lúc được lúc không.

🔍 Test đúng chuẩn (đừng test mỗi trong LAN)

Test 1

Test từ Internet WAN1

Dùng 4G hoặc mạng ngoài site, truy cập Public IP WAN1 → dịch vụ phải hoạt động.

Test 2

Test từ Internet WAN2

Truy cập Public IP WAN2 → dịch vụ vẫn hoạt động tương tự.

Test 3

Failover

Ngắt WAN1: truy cập bằng Public IP WAN2 vẫn ok. Khi WAN1 hồi, WAN1 vẫn truy cập được.

⚠️ Failover không có nghĩa “WAN1 public IP tự chuyển qua WAN2”. Mỗi public IP là độc lập.

❌ Lỗi thường gặp & cách xử lý nhanh (accordion)

❌ WAN1 truy cập được, WAN2 không truy cập được

VIP_WAN2 gắn sai interface (không phải WAN2)
Inbound policy WAN2 thiếu hoặc dst không phải VIP_WAN2
ISP WAN2 bị CGNAT / không mở inbound

❌ Truy cập được lúc được lúc không (flaky)

Server gateway không trỏ về FortiGate
Policy trùng/đè nhau, thứ tự policy sai
Port mapping nhầm (external port ≠ internal port)

❌ Publish RDP/SSH bị scan liên tục

Đây là rủi ro bình thường khi mở Internet. NAMHI khuyến nghị: giới hạn source IP (allow-list), dùng geo restriction hoặc chuyển sang VPN để truy cập quản trị.

🧩 Kết luận

Publish đa WAN đúng nhất là: mỗi WAN một VIP + mỗi WAN một inbound policy. Làm đúng cấu trúc này, bạn sẽ tránh hầu hết lỗi “WAN này được WAN kia không”. Bài tiếp theo (Bài 17) sẽ xử lý một mảng cũng hay “đổ oan” cho WAN: DNS & AD/Domain.

➡️ Bài tiếp theo