VPN 트래픽 통신장애로 패킷 sniffer를 했을때 아래 처럼 root 인터페이스로 응답하는 경우
# diagnose sniffer packet any ‘host 10.1.6.2 and icmp’ 4 0 a
2020-12-10 14:34:12.189914 VPN_Tunnel in 10.12.10.10 -> 10.1.6.2: icmp: echo request
2020-12-10 14:34:12.195421 root out 10.1.6.2 -> 10.12.10.10: icmp: echo reply
2020-12-10 14:34:12.195590 root in 10.1.6.2 -> 10.12.10.10: icmp: echo reply
Debug를 보면 아래처럼 라우팅 경로를 root 인터페이스로 잡는 것이 확인된다.
# diagnose debug flow filter addr 10.1.6.2
# diagnose debug flow filter proto 1
# diagnose debug flow trace start 10
# diagnose debug enable
id=20085 trace_id=38 func=print_pkt_detail line=5497 msg="vd-root:0 received a packet(proto=1, 10.12.10.10:1->10.1.6.2:0) from Port2. type=0, code=0, id=1, seq=9."
id=20085 trace_id=38 func=resolve_ip_tuple_fast line=5572 msg="Find an existing session, id-0004a1f5, reply direction"
id=20085 trace_id=38 func=vf_ip_route_input_common line=2591 msg="find a route: flag=80000000 gw-10.12.10.10 via root"
이유는 해당 IP 10.12.10.10에 대해 FortiGate에 VIP로 설정 되있거나, IP pool에 설정 되어 있는 경우이다.
VIP나 IP Pool의 설정을 다른 IP로 변경하면 해결된다.
'FortiGate > IPsec VPN' 카테고리의 다른 글
| Interface mode에서 Phase 1 이름 글자 수 제한 (0) | 2021.03.29 |
|---|---|
| Dialup VPN 트래픽 로그에 username 기록하기 (0) | 2021.01.19 |
| Dead Peer Detection (DPD) 설정 (0) | 2021.01.14 |
| NAT Traversal 설정 (0) | 2021.01.14 |
| Secondary IP를 이용하여 VPN 연결 설정 (0) | 2021.01.14 |
댓글