SVN2230 L2TP over IPSec拨号成功后无法访问内网服务器案例

发布时间:  2014-03-31 浏览次数:  492 下载次数:  10
问题描述
客户使用SVN2230做安全网关,出差用户通过 L2TP over IPSec接入SVN 2230后,访问内网资源,但拨号成功后却无法访问内网服务器。
告警信息
处理过程
L2TP over IPSec 能够拨号成功,说明从VPN外网到SVN设备的网络是没有问题的,问题应该在SVN2230到内网,或者SVN2230设备本身存在配置问题。

(1)首先排查SVN2230上的配置,发现配置的拨号地址池和出接口在同一网段,这样会导致内网回应业务报文时,由于查ARP失败导致报文丢弃。如下:

domain default
domain vg_oa.dom
  authentication-scheme  vg_oa.scm
  authorization-scheme vg_oa.scm
  radius-server vg_oa.tpl
  ldap-server vg_oa.tpl
  user-priority 255
  ip pool 1 172.31.5.130  172.31.5.230
interface GigabitEthernet0/0/0.3
vlan-type dot1q 3000
ip address 172.31.5.2 255.255.255.0
ipsec policy 1 auto-neg

(2)修改地址池为172.31.6.0/24网段后,重新拨号并进行访问内网服务器的测试,发现仍然无法访问,在SVN设备上查看会话发现只有单向的报文,内网没有回应报文,如下:

[CIKVDIVPN001] display firewall session table verbose destination global 172.31.8.62
16:08:17  2014/03/16
Current Total Sessions : 1
  tcp  VPN:public --> public
  Zone: lan--> lan  TTL: 00:00:05  Left: 00:00:02
  Interface: GigabitEthernet0/0/0.3  NextHop: 172.31.5.1  MAC: xx-xx-xx-91-7f-ba
  <--packets:0 bytes:0   -->packets:2 bytes:128
172.31.6.135:50591-->172.31.8.62:80   

(3)由于是内网没有回应报文,于是检查内网防火墙USG2200的配置,发现在防火墙上将172.31.0.0/16整个网段的路由指到了内网,如下:

ip route-static 172.31.0.0 255.255.0.0 10.161.10.66

这样的路由配置会导致内网服务器回应到172.31.6.0/24网段的报文无法正常发送到SVN2230设备,最终导致业务访问异常。于是在USG2200防火墙上添加如下路由:

ip route-static 172.31.6.0 255.255.255.0 172.31.5.2   //172.31.5.2是SVN2230设备

添加上述路由后,访问内网服务器业务正常,问题解决。

根因
根据问题现象,可能有如下原因:
(1) SVN2230到内网的服务器的网络有问题;
(2) SVN2230丢包;
建议与总结
由于SVN2230设备的地址池配置和内网防火墙USG2200上的路由配置错误,导致L2TP over IPSec拨号成功后无法访问内网业务。

建议:
此类L2TP over IPSec拨号成功但是业务访问异常的问题,基本上都与路由的配置有关系,排查时可以重点关注。

END