由于未在NAT中禁止掉VPN的数据流,导致ipsec隧道可以建立,内网ping不通

发布时间:  2012-07-18 浏览次数:  89 下载次数:  0
问题描述
用户--路由器----USG5300---服务器

现象:在USG5300上查看dis ike sa 隧道可以建立,但内网地址不能互访。

告警信息
处理过程
处理过程
 1、由于隧道可以建立,ipsec的配置没有问题
 2、USG5300在接口上没有端口快转的命令
 3、在NAT outbound将ipsec的感兴趣流量拒绝,问题解决。
根因

原因分析:
 1、配置问题
 2、端口快转未关闭
 3、未在NAT outbound里面拒绝ipsec的感兴趣流量

建议与总结
总结:数据包经过防火墙,要先匹配NAT outbound,在匹配VPN 隧道。所以在配置ipsec vpn时,需要在NAT outbound里拒绝走VPN的私网数据流

END