防火墙对源ip不做NAT转换影响D-link建立隧道不通

发布时间:  2013-12-09 浏览次数:  155 下载次数:  0
问题描述
利用D-link通过防火墙建立ipsec隧道,隧道建立起来了,外部用户访问不了内部服务器,esp报文也到不了内部服务器
告警信息
处理过程
对防火墙nat-policy域间添加策略,对源地址不做nat转换。
<sysname> system-view
nat-policy interzone trust untrust 2 inbound
action no-nat
policy destination &.&.&.& 0
注意:此处的策略要放到此前配置的策略前面。
根因
检查D-link设备,发现隧道建立起来,源ip经过防火墙被映射成为防火墙内网接口地址,查看会话表,发现有esp报文会话,有进来的报文,没有出去的报文。在内部服务器前段的接入交换机上抓包未发现有esp报文,初步分析,报文到达防火墙后,未下发下去
建议与总结

END