Fortigate Virtual ip(VIP)注意事項

底下是原本的設定

原本狀況去ping 192.168.154.254 or 2.2.2.1(模擬外網)都正常。

後來有需求說要從其他的內網(r4之後的網路)要連到Fortigate port1的10.20.20.x/24網段。

所以我就新增VIP與Policy如下圖

然後就發現到外網就斷了。

sniffer發現有去無回

debug看被NAT成VIP的IP了

詢問前輩，問題就出在VIP在建立的時候我選擇Any，這樣是不正確的。

後來就改成只會在Port2出現後就正常了。

有VIP 一定match VIP 來進行。
如果在建立VIP時選擇any，表示這VIP都可以在任何interface都生效。
就有可能導致source NAT時帶的是VIP的IP，但這IP不是在該介面身上，導致防火牆sniffer有去無回的狀況。