Fortigate IPSEC VPN问题

Question

这里有个有挑战性的问题。

我们有一个Fortigate620B，我们试图用它将一些流量通过VPN隧道路由到一个客户。

我们希望从我们与一个公共IP的接口(我们将它设置为NAT，使用特定的公共IP地址)到客户端的公共IP。

我有一个配置，我认为它应该工作，除了流量，因为它击中了链接，说它来自我们的内部IP地址(192.168.X.X)，而不是公共IP地址(x.x.x.x)。

我们在日志中得到的错误：

id=13 trace_id=368 msg="vd-root received a packet(proto=6, 192.168.XX.XX:50470->XX.XX.183.94:443) from port8. flag [S], seq 342573222, ack 0, win 8192"
id=13 trace_id=368 msg="Find an existing session, id-0a2bb411, original direction"
id=13 trace_id=368 msg="enter IPsec interface-XXX_P2P"
id=13 trace_id=368 msg="No matching IPsec selector, drop"

它会丢弃数据包，因为VPN上的快速模式选择器被设置为使用我们的公共IP而不是我们的私有IP。

这里的挑战是我们和我们的客户使用相同的私有IP空间，所以我们必须在流量的两端进行NAT。

为了解决这个问题，我有一个第一阶段的建议和两个第二阶段的建议。

路由规则可以工作，因为静态路由将数据包引导到VPN接口，策略规则可以工作，但由于某种原因，NAT不能正常工作。

我很乐意提供任何我能帮助排除故障的信息。

Answer 1

看来你遇到了不好的Fortinet行话的难题。您想要NAT IPsec数据包的源IP吗？哦..。那将是Local Gateway Address。

撇开笑话不说，你的配置似乎很好，除了那个该死的IPsec NAT设置。

给予：

Internal src address => IPsec packets (qualified by src/dst) ~~ NATed to a public IP => ISP router

您必须使用Local Gateway Address配置中的Phase 1作为NATed到(全局)地址。

请记住将此IP绑定到接口，否则将不会将发送给IP的数据包绑定到接口(duh!)。

config system settings 
set allow-subnet-overlap enable #if applicable
end
config system interface
edit [interface name]
set secondary-IP
end

我写了个博客.想听吗？开始吧：http://mbrownnyc.wordpress.com/2011/11/11/fortigate-vpn-problems-tell-your-fortigate-what-to-do/