解決策
セッションをクリアした後に再度試験をすれば(diagnoseコマンド)無事SNATやDNATが効いている様子を確認することができるはずです。
# diagnose system session clear filter src xxx.xxx.xxx.xxx
# diagnose sniffer packet wan1 'host xxx.xxx.xxx.xxx' 4 0 # パケットキャプチャ
いったい何が起こっていなのか
拠点間のIPアドレスの重複や新規のルーティングの設定を避けるために拠点間へNAT変換用のルータを設置したとします。
NATが実際にうまくいっているかはpingの疎通で確認できるわけですが、パケットキャプチャを確認して実際に変換されている様子も確認したい。
しかし、見えない。なぜか。
セッションを利用して2回目以降のNAT操作はパケットキャプチャ機能で確認できる範囲では見えなくなっていたことが原因でした。パケットキャプチャで監視しているcpuで処理されずにASICと呼ばれる別の処理装置で処理するようです。
これをオフロード(offload)と呼んでいるみたいです。
この機能をオフにすることもできますが、一度試験として確認するだけの場合、セッションをクリアすればよいと思います。
For FortiGates with NP2, NP4, or NP6 interfaces that are offloading traffic, disable offloading on these interfaces before you perform a trace or it will change the sniffer trace.
セッションをクリアした後に再度試験をすれば(diagnoseコマンド)無事SNATやDNATが効いている様子を確認することができるはずです。
2回目以降の通信ではまたセッションテーブルの参照後、この通信はすでにポリシーチェック済みで、NAT変換も確定していると判断します。パケットキャプチャで確認するCPU処理を行わずに処理するのでパケットキャプチャにNATのログは見えません。
NAT パケットキャプチャ 見えない