web-dev-qa-db-ja.com

IPSEC VPNの問題を緩和する

ここに挑戦的な質問があります。

VPNトンネルを介してトラフィックを顧客にルーティングするために使用しようとしているFortigate620Bがあります。

トラフィックが、パブリックIPの1つ(特定のパブリックIPアドレスを使用してアドレスにNATに設定されている)とのインターフェイスからクライアント側のパブリックIPに送信されるようにします。

リンクにヒットするトラフィックがパブリックIPアドレス(192.168.X.X)ではなく内部IPアドレス(x.x.x.x)から来ていることを示している場合を除いて、機能するはずの構成があります。

ログで発生するエラー:

id=13 trace_id=368 msg="vd-root received a packet(proto=6, 192.168.XX.XX:50470->XX.XX.183.94:443) from port8. flag [S], seq 342573222, ack 0, win 8192"
id=13 trace_id=368 msg="Find an existing session, id-0a2bb411, original direction"
id=13 trace_id=368 msg="enter IPsec interface-XXX_P2P"
id=13 trace_id=368 msg="No matching IPsec selector, drop"

VPNのクイックモードセレクターがプライベートIPではなくパブリックIPを使用するように設定されているため、パケットがドロップされます。

ここでの課題は、私たちとクライアントが同じプライベートIPスペースを使用するため、トラフィックの両端をNATする必要があることです。

それを回避するために、1つのフェーズ1提案と2つのフェーズ2提案があります。

静的ルートがパケットをVPNインターフェイスに導き、ポリシールールが機能するため、ルーティングルールは機能しますが、何らかの理由でNATが正しく機能していません。

トラブルシューティングに役立つ情報を提供させていただきます。

2
natediggs

フォーティネットの悪い専門用語の難問に遭遇したようです。 NAT IPsecパケットの送信元IP?ああ...それはLocal Gateway Addressになります。

冗談はさておき、IPsec NATの設定を除いて、設定は適切なようです。

与えられた:

Internal src address => IPsec packets (qualified by src/dst) ~~ NATed to a public IP => ISP router

Local Gateway Address構成のPhase 1を(グローバル)アドレスへのNATとして使用する必要があります。

このIPをインターフェイスにバインドすることを忘れないでください。バインドしないと、IP宛てのパケットがインターフェイスに届きません(そうです!)。

config system settings 
set allow-subnet-overlap enable #if applicable
end
config system interface
edit [interface name]
set secondary-IP
end

私はそれについてブログを書きました...それを聞きたいですか?ここに行きます: http://mbrownnyc.wordpress.com/2011/11/11/fortigate-vpn-problems-tell-your-fortigate-what-to-do/

1
mbrownnyc