У меня 2 файрвола fortinet (полностью пропатчены); fw1 предоставляет туннель IPSEC в прозрачном режиме. под этим межсетевым экраном находится fw2, межсетевой экран NAT с подтвержденным рабочим адресом VIP. Эта конфигурация требуется моим клиентам, которые хотят подключиться к общедоступному адресному пространству внутри туннеля, чтобы предотвратить переход в IP-пространстве. Эта конфигурация отлично подходит для исходящего трафика на удаленную сторону туннеля, но не для входящего. Обнюхивая трафик, я вижу, что входящий трафик выходит из fw1, но его никогда не видно на fw2.
Cust Net > 10.1.1.100
|
|
|
FW1 >TRANSPARENT IPSEC
|
|
|
FW2 EXT >99.1.1.1.100-VIP
|
FW2 NAT >192.1.1.100-NAT
Это была проблема с кешем Arp, которая была решена путем создания специальной записи для третьего межсетевого экрана на втором межсетевом экране.