SSL VPN通过网络扩展能够获地址但是不能ping通内网主机地址

发布时间:  2012-07-19 浏览次数:  179 下载次数:  0
问题描述

USG2230上配置SSL VPN并开启网络扩展功能,外部用户能够获地址但是不能ping通内网主机地址,内网主机和防火墙直连。

告警信息
处理过程

1、检查包过滤及SSL VPN相关配置无问题
2、查看到达内网地址的会话如下:
[USG2230]disp firewall session table v destination inside 192.168.3.8
23:43:37 2011/08/14
Current total sessions: 1
icmp VPN: public -> public
Zone: trust -> trust TTL: 00:00:20 Left: 00:00:13
Interface: GigabitEthernet0/0/0 Nexthop: 192.168.10.1 MAC: 00-25-9e-d4-b7-4c
<-- packets:4 bytes:240 --> packets:4 bytes:240
192.168.254.104:768[7.7.7.7:38342]-->192.168.3.8:768
发现外部用户通过网络扩展获取到的地址192.168.254.104访问目标主机时被NAT转化为7.7.7.7,检查配置发现在trust域配置了域内NAT。其中用于做域内NAT的ACL包含了网络扩展分配的地址网段
3、修改域内nat中引用的ACL,将网络扩展分配的网段拒绝做域内NAT转化后,外网通过SSL VPN访问内网主机正常。

根因
1、包过滤导致不能访问
2、内网主机未配置网关
3、其它
建议与总结

SSL VPN网络扩展分配地址池属于trust域且获取的地址不能ping通内网接口物理地址。

END