USG5100做网关客户端使用PPTP VPN拨号失败案例

发布时间:  2014-03-29 浏览次数:  507 下载次数:  0
问题描述
客户使用USG5100做网关,内网的客户端使用PPTP VPN接入公网的服务器,但是无法正常连接,服务器端有客户端的连接请求日志信息。

告警信息
处理过程
分析设备的诊断信息,检查步骤如下:
(1)检查网络的互通性问题,经测试,内网vpn client可以ping通服务器端,但是服务器端ping防火墙的公网地址ping不通,检查防火墙配置,发现ping不通防火墙公网地址是由于防火墙上没有开启到本地的包过滤,如下:

firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction outbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone trust untrust direction outbound
firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone dmz untrust direction outbound   
//没有开启到防火墙本地的域间包过滤

(2)经过上述排查测试,网络连通性没有问题,继续检查防火墙上PPTP的相关配置,发现域间已经开启了detect pptp,但是发现设备的NAT是在接口下配置的nat enable,在这种情况下,需要在接口下配置detect pptp,但是接口下没有配置detect pptp,如下:

firewall interzone trust untrust
detect ftp
detect pptp   //域间已经配置detect功能
detect sip
detect sqlnet

接口下的NAT配置:
interface GigabitEthernet0/0/0
ip address x.y.23.134 255.255.255.192
vrrp vrid 1 virtual-ip 139.0.23.130 master
nat enable
detect ftp    //接口下未开启pptp的detect功能
根因
根据问题现象,可能有如下原因:
(1) 网络有问题,从服务器到客户端的网络存在单通问题;
(2) 防火墙由于PPTP相关的配置问题丢包;
建议与总结
由于设备是在接口下配置的NAT功能,所以需要在对应的接口下开启detect pptp,此时域间配置的pptp是不生效的。

建议:
在接口下看起nat enable功能时,对于pptp vpn需要在对应的接口下开启detect pptp命令。

END