次のシナリオがあります:
サイトA: 静的パブリックIPを持つFortigate
サイトB: SIMカードが挿入されたFortigate 40F 3G4G、静的IPなし
これら二つのファイアウォール間にIPSecトンネルを作成しました。サイトAでは、リモートゲートウェイを「ダイアルアップユーザー」に設定し、NATトラバーサルを有効にしました。セキュリティポリシーと静的ルートも両サイトに設定しました。
今の問題は:
サイトBからはサイトAのIPアドレスにpingを送ることができますが、サイトAからサイトBへのpingはできません。スニファーでは、サイトAから出ているパケットが見えます:
13.920003 redinf1.vl20 192.168.81.125 → 172.22.250.50: icmp: エコーリクエスト
13.920058 VPN出力 192.168.81.125 → 172.22.250.50: icmp: エコーリクエスト
しかし、サイトBでは何も到着していないようです。
何が間違っているのでしょうか?
診断デバッグフローコマンドを確認してください
これにより、ゲートがトラフィックに対して何をしているかが分かります。
パケットキャプチャは良いツールですが、この問題には適していません。
今は動作しています。サイトAの静的ルートを削除したら、動作し始めました。
理解できません… いつもこの静的ルートをFortigateに作成する必要があると思っていました。
同意します - パケットキャプチャは状況についてのすべてを教えてくれます。 受信側でのdiag debug flowがパケットがドロップされる理由を教えてくれるでしょう。
静的ルートはダイアルアップハブでは機能しません。 どの動的トンネルをルートが指すべきか指定できません。 ハブからスピークへのルーティングを解決する唯一の方法は、動的ルーティング(BGP、OSPF、RIP)またはIKEを使ったルートです。(スピークはフェーズ2セレクターを通じてサブネットをアナウンスします)
ご説明ありがとうございます。しかし、ルーティング設定が誤っていた場合でも、サイトBからサイトAへの通信が動作した理由が理解できません。
良い質問ですが、最終的には無意味です。上述した制限のためです。(その解決策を使えないのなら、なぜ面倒を見ているのか)
私の推測では、何らかの特殊なエッジケースで曖昧なルートが逆方向のパス検査を通過するのに十分である可能性があります(特定のトンネルからパケットが来ていることがわかる=応答のための出界インターフェースを持っている;そしてダイアルアップトンネルインターフェースを指すルートが何となくある)。もし二つ目のダイアルアップスピークが接続されたら、完全に壊れていたかもしれません。逆方向のセッションでは、それは役に立ちません。出界インターフェースがまだ知られていないからです。