Fortigateを挟んだ通信について

###実現したいこと
FortigateでNATを使用したエンド間(SV-1→SV-2)の通信の確立

###構成図

SV-1にはスタティックルートの設定を入れている
宛先：0.0.0.0
NHOP:192.168.1.254

###状況
SV-1→Fortigate60E(wan2=172.16.1.1)までは通信可
しかし、SV-1→R4(fa1/3=172.16.1.14)へは不可

Fortigateでは172.16.1.14のアドレスがARPテーブルに登録されている

Fortigate→SV-2(10.10.10.1)へは通信可

私の認識では、構成図に記載した設定でエンド間の通信が可能だと思っております。
しかし、実際には疎通できません。
原因が全くわからず、非常に困っております。
上記について、何か分かる方いらっしいましたらご教授願います。

以上、よろしくお願いいたします(>_<)

行動規範の内容に同意します

回答3件

自己解決

皆様、本当にいつもアドバイスしてくださり、ありがとうございます！
非常に助かります。
今回はコメントにも記載しましたとおり、別の方法でポリシーを設定しエンド間通信の確認が取れました。

そもそも、SV-1のIPアドレス(192.168.1.1)を、指定されたIP(172.16.1.10)にNAT変換してエンド間の通信がとれるようにすることが要件でした。
しかし、fortigateのポリシーで送信元に作成したバーチャルIPを適用できない、また、上記のNAT定義をバーチャルIPとして作成した時点で、192.168.1.1の通信が全て172.16.1.10に変換されSV-1への通信ができない状態になってしまいました。
そこで、構成図に記載した内容で考えていたのですが、R4より右側の設定と整合性が合わずに、通信がとれなかったということだと理解しました。
本来の要件に沿った方法としては、以下のポリシーで実現できたと認識しております。
送信元：192.168.1.1
宛先：172.16.1.0/28 , 10.10.10.0/24
サービス：ALL
IPPool: 172.16.1.10 (オーバーロード)
※構成図に記載したポリシー①と②は削除しております。

今回の件で、バーチャルIPはデストNATとして、IPPoolはソースNATとして使い分けすればいいのかなーと感じました。

以上、100%の理解ではないかもしれませんが、目的は達成したため本件はクローズとさせていただきます。

皆様、ありがとうございました！('◇')

投稿2019/01/08 14:28

編集2019/01/08 14:36

narururu

総合スコア172

他の方から指摘があるようにR4の設定が怪しいと思われますので、まずはそちらを
確認するとよいと思います。
私の山勘ではR4でデフォルトルートをL3SW側に向けてしまっているのではないかと思います。

投稿2019/01/08 01:58

ozwind918

総合スコア1140

narururu

2019/01/08 14:13

ご回答ありがとうございます。ozwind918さん☺ 構成図に記載した内容とは別の方法でポリシーを設定し、エンド間の通信が確認とれました。送信元：192.168.1.1 宛先：172.16.1.0/28 , 10.10.10.0/24 サービス：ALL IPPool: 172.16.1.10 (オーバーロード) アドバイスしてくださり、ありがとうございました('◇')

行動規範の内容に同意します

しかし、SV-1→R4(fa1/3=172.16.1.14)へは不可

ポリシー②によって可能に見えますが、実際できないのであれば、Fortigateでフィルタリングされていると思うので、Fortigateのログを確認するのはいかがでしょうか。
それぞれ、ポリシーにログオプションがあると思うので、有効化してみてください。（設定、ログ確認全てGUIでできるはず）
また、念のため暗黙のDenyもログ有効化してみると良いと思います。（ポリシーにhitせずDenyされている可能性を考慮）

追伸：当然ですがR4にSV1（192.168.1.0/24）へのルートが存在することが前提です。

投稿2019/01/07 14:44

編集2019/01/07 14:47

taichi_0807

総合スコア252

narururu

2019/01/08 00:05 編集

ご回答ありがとうございます！taichi教授☺ ログは有効化しているのですが、fortigate自身のログを見ても今回の件に関するログは何も表示されないのです。本件とは無関係のログはでております。また、Fortigateのログは別途syslogサーバーへ転送しているのですが、そのログを見ても原因がわからない状況です。(本件に関するログが出力されているようには見えない)改めて設定を見直してみます。追伸の件について R4から右側の機器の設定については、別の人が担当しており設定内容をきちんと確認できていない状況です。明日、担当者に確認してみます。因みに、R4の設定内容はスタティックルート(宛先：192.168.1.0/24 NHOP:172.16.1.10　or 宛先:0.0.0.0　NHOP:172.16.1.1)の認識です。

over

2019/01/08 00:12

SV-2への通信はNATとしていますが、R1への通信はNATとしなく通信できれば良いというのであればR1のルートが足りないのは確かでしょう。でも、システム要件としてそれはアリなのでしょうか?まずはそこを整理すべきでは?

narururu

2019/01/08 14:09 編集

ご回答ありがとうございます。over先生☺ システム要件としては、SV-1のIPを172.16.1.10にNAT変換し、エンド間の通信ができる状態にするです。当初、バーチャルIPでSV-1のIP(192.168.1.1)をFortigateのIP(172.16.1.10)に変換する設定をいれて、ポリシーの送信元に適用しようと試みたのですが、選択できたなかったため、構成図に記載した内容で考えました。しかし今回、以下の設定でエンド間の通信が確認とれました。バーチャルIPではなく、IPPoolの設定を使用することで、当初考えていたNATが実現できました。追加したポリシー送信元：192.168.1.1 宛先：172.16.1.0/28 , 10.10.10.0/24 サービス：ALL IPPool: 172.16.1.10 (オーバーロード) ※構成図で作成したポリシーは削除しました。

narururu

2019/01/08 14:32

taichi教授☺ 他の人への返信にも記載したとおり、別の方法でエンド間の通信ができました。いつも迅速なご回答ありがとうございます。本当に助かってます。また、何かありましたらアドバイスいただけますとうれしいです。以上、ありがとうございました！

行動規範の内容に同意します

あなたの回答