AWS

AWSとFortigateを使ってVPN接続で片方向しか通信できない場合の対処法

AWSとFortigateを使ってのVPN接続で、GUIで見えるところは間違ってないのに、社内からAWSへは通信できるが、AWSから社内へは通信できないという問題が発生しました

片方向通信ができないというトラブルだったのでポリシーしかないと思い、何度も見返しましたが問題が見つかりませんでした

原因はGUIでは表示されない箇所だったので、バックアップを取得して、ファイルを見ることでしか発見できませんでした

 

問題

社内からAWSは通信できるが、AWSから社内へは通信できない

Forigate機器:FG240D
FWバージョン:5.02

ポリシー設定

ポリシーの問題はありませんでしたが、参考に必要なポリシーを記述しておきます

VPN接続1 → WAN(NAT)
VPN接続2 → WAN(NAT)
Internal → VPN接続1
Internal → VPN接続2
VPN接続1 → Internal
VPN接続2 → Internal

以上のポリシーは最低必要です

 

問題はbgpの設定

set capability-default-originate enable」が必要です

config router bgp
    set as 65000
    set router-id xxx.xxx.xxx.xxx
        config neighbor
            edit "xxx.xxx.xxx.xxx"
                set capability-default-originate enable
                set remote-as 10124
            next
            edit "xxx.xxx.xxx.xxx"
                set capability-default-originate enable
                set remote-as 10124
            next
        end
end

 

この設定はCLIからしかできませんし、GUIでは表示もされません
きちんと2行分追加してください

set capability-default-originate enableとは?

fortigateの公式サイトはこちら

Adding the command set capability-default-originate enable will advertise a default route to the BGP peer without a default route present in the RIB.  The default route will be created to be announced to the BGP neighbor only.

と書かれていますが、BGPをきちんと勉強しないと難しい

わたしなりに解釈すると・・・
やはり経路情報に関する設定のようで、デフォルトルートに経路情報(RIB)を使用せずにBGPを使うようになるように思いました

やはり経路情報がおかしくなっていたんですね