IPSEC VPNの問題を緩和する
ここに挑戦的な質問があります。
VPNトンネルを介してトラフィックを顧客にルーティングするために使用しようとしているFortigate620Bがあります。
トラフィックが、パブリックIPの1つ(特定のパブリックIPアドレスを使用してアドレスにNATに設定されている)とのインターフェイスからクライアント側のパブリックIPに送信されるようにします。
リンクにヒットするトラフィックがパブリックIPアドレス(192.168.X.X)ではなく内部IPアドレス(x.x.x.x)から来ていることを示している場合を除いて、機能するはずの構成があります。
ログで発生するエラー:
id=13 trace_id=368 msg="vd-root received a packet(proto=6, 192.168.XX.XX:50470->XX.XX.183.94:443) from port8. flag [S], seq 342573222, ack 0, win 8192"
id=13 trace_id=368 msg="Find an existing session, id-0a2bb411, original direction"
id=13 trace_id=368 msg="enter IPsec interface-XXX_P2P"
id=13 trace_id=368 msg="No matching IPsec selector, drop"
VPNのクイックモードセレクターがプライベートIPではなくパブリックIPを使用するように設定されているため、パケットがドロップされます。
ここでの課題は、私たちとクライアントが同じプライベートIPスペースを使用するため、トラフィックの両端をNATする必要があることです。
それを回避するために、1つのフェーズ1提案と2つのフェーズ2提案があります。
静的ルートがパケットをVPNインターフェイスに導き、ポリシールールが機能するため、ルーティングルールは機能しますが、何らかの理由でNATが正しく機能していません。
トラブルシューティングに役立つ情報を提供させていただきます。
フォーティネットの悪い専門用語の難問に遭遇したようです。 NAT IPsecパケットの送信元IP?ああ...それはLocal Gateway Addressになります。
冗談はさておき、IPsec NATの設定を除いて、設定は適切なようです。
与えられた:
Internal src address => IPsec packets (qualified by src/dst) ~~ NATed to a public IP => ISP router
Local Gateway Address構成のPhase 1を(グローバル)アドレスへのNATとして使用する必要があります。
このIPをインターフェイスにバインドすることを忘れないでください。バインドしないと、IP宛てのパケットがインターフェイスに届きません(そうです!)。
config system settings
set allow-subnet-overlap enable #if applicable
end
config system interface
edit [interface name]
set secondary-IP
end
私はそれについてブログを書きました...それを聞きたいですか?ここに行きます: http://mbrownnyc.wordpress.com/2011/11/11/fortigate-vpn-problems-tell-your-fortigate-what-to-do/