実現したいこと
FW(Fortigate)のSSL-VPN機能(NAT=OFF)を使って 自宅PC から リモートサイト上のサーバにPingを通したい
前提
●構成
自宅PC(FortiClient)---- Fortigate ----- サーバ(SV)
・FW,サーバはAWSのEC2で構築
・自宅PC - FW間のSSL-VPNトンネルOK
・FWのWAN側IP(Port1:10.0.1.254)へのPing OK ※ElasticIP有
・FWのLAN側IP(Port2:10.0.2.254)へのPing OK
・SVへのPing NG
<訊きたいこと>
自PCからSVへのPingがNGとなる。FW側でパケットをドロップしているように見える(キャプチャで確認)
・FortigateのPort2でキャプチャ
→(src :10.212.134.200 dst: 10.0.2.101 のパケットを確認)
・SVでのキャプチャ(tcpdump)
→ 表示なし(tcpdump, icmpでフィルタ。フィルタを外すとキャプチャパケットを確認)
FortigateのSSL-VPNのファイヤーウォールポリシー設定(WAN → LAN)のNAT機能=ONにすると
Ping OKとなった。
<疑問点>
Q1.
SSL-VPNのファイヤーウォールポリシー設定のNAT機能は”OFF”とするのが一般的的か?
(ネット上の参考サイトではいずれもSSL-VPNのファイヤーウォールポリシー設定のNAT機能は”OFF”となっているように見受けられる)
Q2.
FW側でドロップしているように見えるが、考えられるドロップ原因は何でしょうか?
ポリシーでのトラフィック転送は許可されている(ように見える)
・転送トラフィックログで当該ポリシーIDでの許可ログを確認
・暗黙のdenyポリシーのログ有効化、「ファイヤーウォールポリシー」画面でのログが0バイト
Q3.
NAT機能をOFFの場合、PingのsrcIP はトンネルIPのデフォルトレンジ(10.212.134.200 - 10.212.134.210)になっていますが(自分はトンネルIPのヘッダでカプセル化されていると思っていましたがヘッダの付け替えになっていた)、リプライパケットのDstIPの付け替えはクライアント側(Forticlient)で行われる認識で合っていますか?
0 コメント