FortiGate50B VPN-IPSECの接続について

　FortiGate50Bで拠点間VPNの接続設定しているのですが、VRN＞IPSEC＞モニタ　にて、各接続先の「トンネルがアップ状態」＝「↑」(緑色)になっているのですが、各拠点先のルーターへpingが通りません。
設定内容が足りないのか・・・、ヒントになるような内容でも教えていただければと思います。

■VPN＞IPSEC＞AutoKey(IKE)
・暗号化:AES 認証:SHA1
・リプレイ検知を有効
・PFSを有効にする
・DHグループ："2"
・自動鍵キープアライブ：有効
・Quick Mode Selector
※下記の各拠点ごとに送信元アドレス、宛先アドレスを設定
＜A拠点アドレス＞
172.26.12.0/24
＜Ｂ拠点アドレス＞
192.168.11.1/24

■ファイアウォール＞ポリシー＞Internal＞wan1
・IPSECにて設定済み

よろしくお願いします。

No.2 回答者： dev_null 回答日時： 2009/12/09 11:03

>ただし、A拠点対C拠点、B拠点対C拠点間でのpingが通りません。

>『ファイアウォール＞ポリシー→internal＞wan1』での表示順やIDの順は原因の一つとして考えられるのでしょうか・・・？

IDは、登録順を表すだけで特に意味はありません。
表示順は、そのままポリシの適用順を表すので上にあるポリシから順番に
ポリシに適合するかチェックされます。

A拠点＝B拠点はPINGが通り、A拠点＝C拠点やB拠点＝C拠点が出来ないと
すれば状況が異なります。

A拠点＝B拠点間のポリシの表示が上にあるならC拠点のものを上にすると
A拠点＝C拠点間のPINGが通るようになるかも知れませんね。
ただし、その場合ポリシの設定に誤りがあることになりますが。

No.1 回答者： dev_null 回答日時： 2009/12/07 15:51

ルータというのがFortiGateのことでしたら、設定しないとPINGは応答しません。

考えられる原因は、
「ルータがPINGに応答しないだけ」
「PINGのリプライをすててる」
「IPSECトンネルを通ってない」

ネットワーク構成が下記のようなものとして、それぞれの機器から検証すると問題の
切り分けができるとおもいます。

[PC]--[FortiGate]--[router]--[PC]

1.FortiGate → router
2.PC → router
3.PC → PC
4.Fortigate ← router
5.Fortigate ← PC
6.PC ← PC

経験上、firewallの設定が足りないとかで 1. 4. はダメでも 3. 6. はOK
とかいう事もあります。

>■ファイアウォール＞ポリシー＞Internal＞wan1
>・IPSECにて設定済み

上の設定ってあってますか？
LANからWANにでる場合、全てIPSECを通して通信するってことになりませんか？

ネットワーク経路を書くと、internal -> WAN (ipsec) -> router -> WAN
という遠回りなことになってるような気がしますが。

この回答への補足

A拠点 172.26.12.0/255.255.255.0　（UTM:172.26.12.254）
B拠点 192.168.0.0/255.255.255.0　（UTM:192.168.0.1）
C拠点 172.26.42.0/255.255.255.0　（UTM:172.26.42.254）
D拠点 192.168.11.0/255.255.255.0　（UTM:192.168.11.1）
E拠点 172.26.41.0/255.255.255.0　（UTM:172.26.41.254）
・・・の各拠点をIPSECで接続します。

それぞれA拠点・B拠点・C拠点を、ファイアウォール＞ポリシー→internal＞wan1に設定した、
・サービス=any
・アクション=IPSEC
・VPNトンネル=対拠点をそれぞれ設定
Allow inbound=チェック
Allow outbound=チェック
して、A拠点対B拠点間でpingも通り接続ができました。

ただし、A拠点対C拠点、B拠点対C拠点間でのpingが通りません。
『ファイアウォール＞ポリシー→internal＞wan1』での表示順やIDの順は原因の一つとして考えられるのでしょうか・・・？

すみませんが、ご教授ください。

補足日時：2009/12/08 15:48