IPSEC 隧道 Fortinet 透明模式到 NAT 模式下的 Fortinet 防火牆內部不響應傳入流量

我有 2 個 fortinet 防火牆（完全打更新檔）；fw1 在透明模式下提供 IPSEC 隧道。在這個防火牆下面是一個 fw2，一個 NAT 防火牆，其 VIP 地址已被確認可以工作。對於想要連接到隧道內的公共地址空間的客戶，此配置是必需的，以防止 IP 空間中的交叉。此配置非常適用於出站到隧道遠端端的流量，但不適用於入站流量。在嗅探流量時，我可以看到從 fw1 流出的入站流量，但在 fw2 上從未見過。

Cust Net > 10.1.1.100                         
               |
               |
               |
FW1      >TRANSPARENT IPSEC
               |
               |
               |
FW2 EXT  >99.1.1.1.100-VIP
               |
FW2 NAT  >192.1.1.100-NAT

這是通過在第二個防火牆上為第三個防火牆創建一個 stic 條目解決的 Arp 記憶體問題。

引用自：https://serverfault.com/questions/126423