Симптомы

Необходимо построить Site-to-Site IPSec VPN, чтобы кластер NGFW использовал в качестве Source IP адрес VIP.

Решение

Создайте следующее правило NAT на клиентском кластере UserGate:

Тип: NAT

SNAT IP: VIP адрес

Назначение: IP адрес сервера VPN

Остальные поля оставьте пустыми по умолчанию.

Примечание

1. Пакет, в поле которого прописывается "Identification Data" формируется до срабатывания правила NAT, поэтому необходимо указывать виртуальный адрес, с которого на самом деле будет строится соединение. У некоторых вендоров, таких как Cisco или Mikrotik не проверяется данное поле при установлении VPN соединения, а проверяется только адрес источника, с которого устанавливается соединение. Но некоторые производители дополнительно проверяют данное поле при установлении соединения, помимо адреса источника, например VMware NSX edge, StrongSwan, Libreswan.
   Возможность указания значения идентификации появилась только начиная с версии 7.1.
2. При построении VPN соединения с VIP адреса (используя SNAT) каждый узел будет пытаться поднять свой туннель, но поднимется только один с мастер узла
3. На туннельном интерфейсе NGFW обязательно должен быть указа IP адрес с любой не 32 маской, без пересечения с действующими сетями