IPsec VPN建立完成后,双方都能Ping通,但是在一方电脑上使用路径追踪tracert对端IP地址时,第二跳是10.10.10.1 。不是对端fortiGate的Internal地址。

已邀请:

kmliu - Fortinet-TAC

赞同来自: kyen

由于IPsec tunnel接口默认没有IP地址,因此在需要ipsec tunnel回复tracert的IP地址时,FGT会默认选取index值较小的接口IP,一般来说是顺序是Mgmt/DMZ/WAN(如果该接口配置成了HA独立管理口的话,这个接口将从以上顺序中移除)。
这是fortigate设备接口模式的ipsec vpn比较特别的一个地方,和业务无关,不影响任何业务。
 
解决办法:
1.在tunnel上配置IP地址。
2.去掉mgmt/DMZ的IP地址,让WAN接口IP优选。(某些场景下不适用,比如本身就有MGMT地址,无法去掉)
 
详细请参考kb文档:http://kb.fortinet.com/kb/micr ... 70441

要回复问题请先登录注册