流量到达FortiGate后无法转发

问题现象

  1. 某用户通过FortiGate访问Internet,但发现部分Internet服务无法访问,对应的IP也无法Ping通。

  2. 检查防火墙上网策略配置全部正确,路由也无异常。

  3. 抓包发现流量到达FortiGate后没有转发到Internet(只有in,没有out)。

    FortiGate # diagnose sniffer packet any 'host 223.5.5.5' 4
    interfaces=[any]
    filters=[host 223.5.5.5]
    0.400011 lan in 192.168.100.178 -> 223.5.5.5: icmp: echo request
    1.405165 lan in 192.168.100.178 -> 223.5.5.5: icmp: echo request
    2.410579 lan in 192.168.100.178 -> 223.5.5.5: icmp: echo request
    3.412497 lan in 192.168.100.178 -> 223.5.5.5: icmp: echo request
    
  4. Debug Flow看到该流量查找路由表的出接口为root,随后被丢弃。

    id=65308 trace_id=1 func=print_pkt_detail line=5795 msg="vd-root:0 received a packet(proto=1, 192.168.100.178:65060->223.5.5.5:2048) tun_id=0.0.0.0 from lan. type=8, code=0, id=65060, seq=744."
    id=65308 trace_id=1 func=init_ip_session_common line=5980 msg="allocate a new session-0000139d, tun_id=0.0.0.0"
    id=65308 trace_id=1 func=vf_ip_route_input_common line=2611 msg="find a route: flag=80000000 gw-223.5.5.5 via root"
    id=65308 trace_id=1 func=fw_local_in_handler line=606 msg="iprope_in_check() check failed on policy 0, drop"
    

问题原因

  1. 用户错误的配置了IPPool的地址范围为客户端要正常访问的IP地址,不论是否为防火墙策略引用。

    config firewall ippool
        edit "IPPool"
            set startip 223.5.5.5
            set endip 223.5.5.5
        next
    end
    
  2. 或是用户错误的配置了VIP的extip地址为客户端要正常访问的IP地址,不论是否为防火墙策略引用。

    config firewall vip
        edit "VIP"
            set extip 223.5.5.5
            set mappedip "10.10.2.1"
            set extintf "wan1"
        next
    end
    
  3. VIP配置中的外部IP和IPPool中配置的地址范围不能配置为现有网络中其他设备的IP、FortiGate的网关IP,也不能配置为内网客户端正常上网可能访问的IP地址。这是由于FortiGate配置VIP或IPPool后,extip、IPPool地址范围属于FortiGate自身的IP地址,即使VIP或IPPool没有被防火墙策略引用,所有访问该IP的流量经过FortiGate时都会被FortiGate引流到自身,影响正常的业务。

解决方法

  1. 遇到以上问题时首先使用Sniffer抓包和Debug Flow排查,如果显示流量被路由到root接口,则有可能是以上配置导致。
  2. 修改VIP中的extip或IPPool中的地址范围为正确的地址,或删除错误配置的VIP、IPPool。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-03-13 10:27:30

results matching ""

    No results matching ""