Fortigate自己產生的封包.... - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

Fortigate自己產生的封包....

fortigate self-originating traffic

cmwang 2021-05-27 12:12:31 ‧ 1584 瀏覽

分享至

鵝有兩台Fortigate,A是FortiOS 6.2.8,B是FortiOS5.2.7,兩者已經建好IPsec VPN了,兩邊LAN也是通的,不過有個狀況是A另外要當SSL VPN GW,認證會向B後面的RADIUS server查詢,鵝在A的RADIUS設定中設了nas-ip(A的LAN IP)和interface-select-method specify指定走IPsec VPN,可是為何用sniffer看,只要是A送到IPsec VPN的封包,Src IP都是帶A的WAN IP啊,鵝還有哪裡漏掉了嗎,還請能人異士指點一下迷津啊....

PS:補一下圖好了,為何Src IP是60.251.148.x而不是172.18.10.1啊....

看更多先前的討論...收起先前的討論...

納貝 iT邦新手 1 級 ‧ 2021-05-27 12:27:31 檢舉

講得有點混亂，可以畫個圖嗎
想知道你理想中想怎麼走，用什麼service，想出現什麼IP

japhenchen iT邦超人 1 級 ‧ 2021-05-27 12:28:49 檢舉

VPN之間會有一個防止斷線的持續訊息傳遞吧？

納貝 iT邦新手 1 級 ‧ 2021-05-27 12:30:03 檢舉

感覺他想問的不是有沒有hearbeat或為什麼有traffic這問題....雖然標題看起來是問這個

ks1217 iT邦研究生 1 級 ‧ 2021-05-27 13:55:12 檢舉

A要跑VPN 去B, 當然透過A的WAN IP阿?!
另外你說在A的RADIUS設定中設了nas-ip(A的LAN IP)? 但是認證會向B後面的RADIUS server?

cmwang iT邦大師 1 級 ‧ 2021-05-27 14:17:49 檢舉

走VPN時如果看Physical WAN的話,Src/Dst當然是WAN的IP,但看VPN interface的話,看到LAN才是正常的吧....

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

1 個回答

0

bluegrass

iT邦高手 1 級 ‧ 2021-05-27 22:57:16

最佳解答

應該都是做多了. 總之試試先干掉這COMMAND

其實只要你A有STATIC路由教A到B後面的RADIUS server就可以自動SELECT

再來重點不是NAS-IP, 是SOURCE IP

config user radius
edit mail user
set source-ip 172.18.0.1

然後如果你是想要PING TEST, 你應該用

execute ping-option source 172.18.0.1
execute ping 10.0.0.181

回應 1
分享
檢舉

cmwang iT邦大師 1 級 ‧ 2021-05-28 14:15:02 檢舉

謝了,set source-ip後就正常了,不過之前兩台都是FortiOS5.2時沒設也是正常的,看來新版FortiOS對source-ip的判斷方式有變動....

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙