後來有需求說要從其他的內網(r4之後的網路)要連到Fortigate port1的10.20.20.x/24網段。
所以我就新增VIP與Policy如下圖
然後就發現到外網就斷了。
sniffer發現有去無回
debug看被NAT成VIP的IP了
詢問前輩,問題就出在VIP在建立的時候我選擇Any,這樣是不正確的。
後來就改成只會在Port2出現後就正常了。
如果在建立VIP時選擇any,表示這VIP都可以在任何interface都生效。
就有可能導致source NAT時帶的是VIP的IP,但這IP不是在該介面身上,導致防火牆sniffer有去無回的狀況。
