Problema de VPN IPSEC Fortigate

Navegue suas respostas
2

Tenha uma pergunta desafiadora aqui.

Temos um Fortigate 620B que estamos tentando usar para rotear um tráfego através de um túnel VPN para um cliente.

Queremos que o tráfego saia da nossa interface com um dos nossos IPs públicos (definimos como NAT o endereço usando um endereço IP público específico) para um IP público no cliente final.

Tenho uma configuração que, acredito, DEVE funcionar, exceto que o tráfego que chega ao link indica que ele vem do endereço IP interno ( 192.168.X.X ) em vez do endereço IP público ( x.x.x.x ).

O erro que recebemos nos registros: 

id=13 trace_id=368 msg="vd-root received a packet(proto=6, 192.168.XX.XX:50470->XX.XX.183.94:443) from port8. flag [S], seq 342573222, ack 0, win 8192"
id=13 trace_id=368 msg="Find an existing session, id-0a2bb411, original direction"
id=13 trace_id=368 msg="enter IPsec interface-XXX_P2P"
id=13 trace_id=368 msg="No matching IPsec selector, drop"

Ele descarta o pacote porque o seletor de modo rápido na VPN está configurado para usar nosso IP público em vez de nosso IP privado.

O desafio aqui é que nós e nosso cliente usem o mesmo espaço IP privado, então temos que usar NAT no fim do tráfego.

Para contornar, tenho uma proposta da Fase 1 e duas da Fase 2.

As regras de roteamento funcionam porque a rota estática orienta o pacote para a interface VPN e as regras de política funcionam, mas, por algum motivo, o NAT não está funcionando corretamente.

Tenho o prazer de fornecer todas as informações que puder para ajudar na solução de problemas.

    
por natediggs 06.11.2014 / 02:39

1 resposta

1

Parece que você se deparou com o enigma do mau gíria da Fortinet. Você deseja NAT o IP de origem dos pacotes IPsec? Ah ... isso vai ser o Local Gateway Address .

Brincadeiras à parte, parece que a sua configuração é boa, exceto pela configuração de NAT do IPsec.

Dado: 

Internal src address => IPsec packets (qualified by src/dst) ~~ NATed to a public IP => ISP router

Você deve usar o Local Gateway Address no Phase 1 config como o endereço NATed para (global).

Lembre-se de ligar este IP à interface, senão você não conseguirá pacotes destinados ao IP para a interface (duh!). 

config system settings 
set allow-subnet-overlap enable #if applicable
end
config system interface
edit [interface name]
set secondary-IP
end

Eu escrevi um blog sobre isso ... Quer ouvir? Aqui está: link

    
por 06.11.2014 / 18:43

Tags

Solicitar problema de tempo limite com nginx, unicórnio e trilhos Sessão do Windows 8.1 RDP-shadow