我有一个运行 r81 的检查点 VSX 环境，我有一个具有两个外部接口的 DMZ 防火墙。一个连接到 Internet，另一个连接到 10.0.0.0/8 网络，该网络连接到校园内的其他部门。

我正在尝试使用位于 10.0.0.0/8 网络上的远程网关设置 VPN。但是，当我的 FW 尝试初始化 VPN 时，它会将流量发送到正确的接口，但会将源 IP NAT 为我面向 Internet 的 IP 地址。远端 10.104.208.4 的工程师已经确认他们正在接收以我的公共 IP 作为其源 IP 地址的 IKE 数据包。它应该接收以我的 10.124.96.3 地址为源的数据包。因此，VPN 无法自行建立。

网络图- 为基本手绘图道歉（公共IP已更改）

fw monitor -ci 50 -co 50 -e "接受 [12,b]=10.104.208.4 或 [16,b]=10.104.208.4;"

[vs_3][fw_0] eth1-04.2781:o[44]: 192.168.196.49 -> 10.104.208.4 (UDP) len=180 id=60240 UDP: 500 -> 500

[vs_3][fw_0] eth1-04.2781:O[44]: 71.71.71.71 -> 10.104.208.4 (UDP) len=180 id=60240 UDP: 12275 -> 500

防火墙拓扑

接口 eth1-04.2780 是面向 Internet 的 IP。

当我从同一个防火墙 ping 10.104.208.4 时，它会正确地 nats 流量并得到回复。

[vs_3][fw_1] eth1-04.2781:o[44]: 192.168.196.49 -> 10.104.208.4 (ICMP) len=84 id=55137 ICMP: type=8 code=0 echo request id=20194 seq=2

[vs_3][fw_1] eth1-04.2781:O[44]: 10.124.96.3 -> 10.104.208.4 (ICMP) len=84 id=55137 ICMP: type=8 code=0 echo request id=22565 seq=2

[vs_3][fw_1] eth1-04.2781:i[44]: 10.104.208.4 -> 10.124.96.3 (ICMP) len=84 id=29532 ICMP: type=0 code=0 echo reply id=22565 seq=2

[vs_3][fw_1] eth1-04.2781:I[44]: 10.104.208.4 -> 192.168.196.49 (ICMP) len=84 id=29532 ICMP: type=0 code=0 echo reply id=20194 seq=2

IPSec VPN 设置

我尝试为该 192.168.196.49 地址创建静态 NAT 规则，但没有成功。我觉得答案在防火墙上的 IPSEC VPN 设置中。我已经尝试了这个选项卡上的几乎所有选项！目前源IP地址设置...设置如下。

有谁知道我做错了什么？非常感谢您的帮助。