私はCisco ASAと80Cの間でVPNを設定するのに非常に苦労しています。
基本的には、VPNがリモート側のいくつかの異なるパブリックIPにトラフィックをルートし、そのトラフィックが私のサイトのパブリックIPから発信されたかのように見える必要があります。すなわち
内部>ローカルパブリックIP>IPSECトンネル>IPsecリモートゲートウェイ>リモート宛先(パブリックIP)
VPNトンネルを起動でき、フェーズもオンラインのようですが、Fortigateは全くトラフィックをルーティングしていません。
リモート側は、トラフィックがインターネットから発信されているように見えると言っています。
これはポリシーベースのVPNです。もし役立つなら。
これはポリシーベースのIPSecトンネルですか、それともルートベースのIPSecトンネルですか?
ポリシーベースであれば、フェーズ2に進む必要があります:
config vpn ipsec phase2
(デバイス上のフェーズ2のリストを見る)
edit PHASE2NAME HERE
そして"use-natip"(おそらくusasnat-IPではなく、現在見ているもの)を無効に設定します。これによりトンネルがあなたのWAN IPをソースとして使用するのを防ぎます。
その後、natipとそれに関連付けられたポリシーのアウトバウンドおよびインバウンドNATを設定します。
私がCiscoからFortigateのVPNを確実に設定できた唯一の方法は、VPN定義のトラフィックセレクターを設定することでした。それは表示されますが、もし両端のサブネットのセレクターを設定しない限り、うまく動作しません。今はマシンにいませんが、それが私の記憶している問題です。
これには非常に時間がかかりました。最大の問題は、フェーズ1とフェーズ2の設定を一致させることでした。ASAでは、AESはAES-128を意味し、SHAはSHA1を意味します、などなど。
IKEのデバッグを有効にすると、不一致のパラメータを特定するのに役立ちました。
トンネルの両端を制御している場合、私たちが最終的に動作した設定をお伝えできます。