防火墙l2tp LNS功能不支持通过Nat Server的GLOBAL地址去拨防火墙接口的应用场景

发布时间:  2012-07-19 浏览次数:  280 下载次数:  0
问题描述
组网:
Untrust trust
L2tp用户 -----------LAC -------------E300 LNS --------内网
E300做LNS端,l2tp用户拨号地址为防火墙内网接口通过Nat Server映射后的公网地址,l2tp隧道可以成功建立,但无法ping通VT接口
防火墙Nat Server配置:
nat server global 119.62.128.2 inside 10.86.1.38
10.86.1.38是防火墙内网接口地址,属于trust区域
L2tp用户拨号地址为119.62.128.2
告警信息
处理过程
1. 在防火墙与LAC间抓包,看出报文异常。
2. 结合防火墙l2tp流程,分析出根本原因。
根因
防火墙l2tp LNS功能不支持通过Nat Server的GLOBAL地址去拨防火墙接口的应用场景。具体原因如下:
通过在防火墙与LAC间抓包来分析问题:
发现客户端发送的ping报文经过l2tp封装后新的IP头中,目的IP为119.62.128.2(Nat Server的Global IP地址。

而防火墙回应的ping reply报文经过l2tp封装后,源IP地址为10.86.1.38(防火墙接口IP地址)

通过抓包,很明显的看出问题:防火墙回应的l2tp数据报文没有经过Nat转换成119.62.128.2地址,导致无法pingVT接口。注: 防火墙对经过L2tp封装后的报文的处理,不走防火墙流程,不做Nat地址转换,直接发送出去。
建议与总结
给出防火墙做LNS端的两种应用场景:
1. 组网(增加一台EU1000,在EU1000上配置Nat Server功能)
L2tp用户 --------- LAC -----------EU1000 ---------- EU300 LNS
2. 组网(不配置Nat Server, l2tp用户直接拨EU300的接口地址)
L2tp用户 --------- LAC --------------- EU300 LNS

END