FortiGate60D与200B,IPSEC建立VPN后,IP电话无法注册,求助

公司设备:飞塔200B,v4.0,build0342,120227 (MR2 Patch 11)
远程设备:飞塔60D,v5.0,build0305 (GA Patch 10)
 
两端使用策略模式进行IPSEC VPN连接
VPN建立后很稳定,服务开启是ANY
 
目前遇到的问题是IP电话注册超时,使用MICROSIP也是超时
然而公司200B与之前的60C建立的VPN,使用IP电话很正常
 
求助这是否是新的60D与老设备兼容性问题,如果是,应该换哪个版本解决
已邀请:

kmliu - Fortinet-TAC

赞同来自: cctvghost

解决方法1:配置一条丢包策略,源接口LAN到目的接口WAN,源IP IP电话这端的IP网段,目的IP为IP电话服务器 IP网段,动作丢包。

解决办法2:在飞塔配置一条黑洞路由,正常IPsec VPN去往cisco的路由应该指向IPsec tunnel,假设cisco那边的网段是192.168.100.0/24 下一跳将指向ipsec tunnel 管理距离默认为10,那么再加一条黑洞路由,目的IP还是192.168.100.0/24 下一跳指向Null0,管理距离为20。(VPN隧道UP的时候正常的路由起作用,VPN隧道DOWN的时候,黑洞路由起作用)

引起的IP电话无法通过IPsec VPN注册到IP电话服务器的原因很大可能性是:由于IP电话和IP电话服务器之间相互使用UDP协议,数据在VPN Tunnel没有起来的时候,路由也没有生效,因此按照默认路由数据走向了internet(WAN1),由于做了SNAT,因此UDP的session不会自动老化(当路由发生变化之后),只有idle=180s的空闲超时才会老化,因此如果IP电话一直发包,这条错误的session就会一直存在,就引起了IP电话和IP电话服务器之间一直无法互通。必须要清除一下相关session才行,或者通过上述两种办法也可以规避这个问题。

要回复问题请先登录注册