IPSEC VPN能够建立隧道但是其中一端不能ping通到对端

发布时间:  2012-07-18 浏览次数:  139 下载次数:  0
问题描述
USG5100做总部和usg2110分支建立IPSEC VPN,分支端ping到总部内网某地址无问题,但是在隧道建立的情况下,在总部端内网某地址ping到分支端却无法ping通。USG版本为V100R005SPC300
告警信息
处理过程
1、由于设备是USG5100,所以不存在端口快转问题,而且设备上并未配置NAT,其他相关配置均无问题
2、在总部内网PC上ping到分支端内网地址,在USG设备上查看会话如下:
[USG5100]disp firewall  session table
09:46:20  2011/09/10
 Current Total Sessions : 9
  esp  VPN:public --> public 123.233.206.111:0-->124.133.249.10:0
  tcp  VPN:public --> public 192.168.10.33:1058-->192.168.1.112:3389
  icmp  VPN:public --> public 192.168.1.112:1024[124.133.244.10:1024]-->192.168.10.1:2048
  netbios-data  VPN:public --> public 192.168.1.112:138[124.133.244.10:138]-->192.168.1.255:138
发现到对端的会话被NAT转换了,但是USG5100上并未配置有Outbound方向的NAT,该地址也不能访问外网。
3、再次检查配置发现有用户对该地址做了地址映射
    nat server 0 protocol tcp global 124.133.244.10 3389 inside 192.168.1.112 3389
   尝试在该配置命令后加入no-reverse,再次ping对端私网地址,访问成功。说明IPSEC 数据流匹配了nat server 的反向会话导致
根因
1、端口快转问题。
2、Outbound方向NAT未拒绝感兴趣数据流。
3、其它。
建议与总结
即使是配置基于端口的映射,当该地址有outbound方向的反向会话时是匹配映射整个ip,并不是精确到映射的具体端口。

END