ソースNATing Fortigateの典型的なシナリオ

FortigateでのNAT処理に関する小さなクエリがあります。特に、リモートネットワークで、特定のIP範囲のユーザーが、物理リンクの異なるセットを介してRDPの特定のポートを使用できるようにするシナリオに打撃を受けています。

LANのユーザー（192.168.60.0/24）は、Fortigateの内部ポート（インターネットに使用されているためWANではない）に接続されているリモートネットワークの10.48.1.3に接続する必要があります。

リモートネットワークファイアウォールとFortigate間のリンクが確立されました（10.189.254.17-10.189.254.18）。リモートファイアウォールのインターフェース10.189.254.17にpingを実行できます。

管理者は、10.189.1.8-10.189.1.15（リモートファイアウォールで許可されたIP）経由で、3389ポート経由で10.48.1.3にアクセスすることを望んでいます。

したがって、基本的に、ユーザー（例：ソース：192.168.60.15）は、Fortigateとリモートファイアウォール（10.189.254.18-18.189.254.17）間の物理リンクを介して、許可されたIP（10.189.1.8-10.189.1.15）経由で宛先10.48.1.4にアクセスする必要があります。

VIP（静的NAT）（ソースNAT）ポート転送、IPプール（宛先NAT）を試しましたが、役に立ちませんでした。

続行方法をアドバイスしてください。これは典型的なシナリオですが、達成できますか？

ポリシールールの下で、192.168.60.15から10.48.1.4へのアクセスを許可します。

NATを選択してプールを作成し、IP範囲を10.189.1.8-10.189.1.15に設定するだけです。

これが機能するための重要なことは、10.189.254.17から10.189.254.17へのフォーティファイトポインティングのルートがあり、最後に10.189.254.17が10.189.254.18を経由して10.189.1.8-10.189.1.15が戻ることを知っていることです。

これはかなり標準的なルールであり、達成できるようです。一部のパケットキャプチャは、問題のデバッグに役立つ場合があります。