我有 2 个 Fortinet 防火墙(已完全修补);fw1 以透明模式提供 IPSEC 隧道。此防火墙下方是 fw2,这是一个 NAT 防火墙,其 VIP 地址已确认可以正常工作。对于想要连接到隧道内部公共地址空间的客户,此配置是必需的,以防止 IP 空间交叉。此配置非常适合流向隧道远端的出站流量,但不适用于入站流量。在嗅探流量时,我可以看到从 fw1 流出的入站流量,但在 fw2 上看不到。
Cust Net > 10.1.1.100
|
|
|
FW1 >TRANSPARENT IPSEC
|
|
|
FW2 EXT >99.1.1.1.100-VIP
|
FW2 NAT >192.1.1.100-NAT
答案1
这是一个 Arp 缓存问题,通过在第二个防火墙上为第三个防火墙创建一个 stic 条目来解决。