NAT 配置错误导致 IPsec VPN 不通问题

发布时间:  2014-09-11 浏览次数:  641 下载次数:  0
问题描述
IPSEC 隧道建立成功,但远程站点之间不通。


场景为两站点远程通过ipsec VPN 隧道连接,使用PPPOE接口互连,采用DynDNS服务器。

站点 1 : DXB
本地局域网 : 192.168.2.0/24
远端局域网 : 192.168.0.0/24
DynDNS 域: adcdxb.dyndns-home.com

Site 2 : AUH
本地局域网  : 192.168.0.0/24
远端局域网  : 192.168.2.0/24
DynDNS  域: adcauh.dyndns.org
告警信息
处理过程
interface Dialer0
link-protocol ppp
ppp chap user advdent
ppp chap password cipher %$%$q{I&S1A+xUA0l1Tc~(.NU:1(%$%$
ppp pap local-user advdent password cipher %$%$2xlC1B`zkX-gBBW2Sa:.U0'{%$%$
ppp ipcp dns admit-any
ip address ppp-negotiate
dialer user advdent
dialer-group 10
dialer bundle 1
ipsec policy map1 auto-neg
ddns apply policy abc
service-manage enable
service-manage https permit
service-manage ping permit
service-manage ssh permit
nat enable    // 此配置会导致流量优先进行NAT转换,删除此行配置。
detect ftp

分析端口下配置,发现其中配置了一条“nat enable” ,  此配置会导致流量优先进行NAT转换,删除此行配置。同时对端接口也有相同的配置,也删除它。删除后测试远程通信,问题解决。
根因
在拨号接口下,多配置了一条“nat enable”命令,导致本因进入IPsec隧道的流量错误的先进行了NAT转换,导致后续ipsec流量无法正确匹配。最终导致两端业务不通。
建议与总结
在同时需要配置ipsec vpn和NAT的时候,注意接口下配置ipsec时不要添加NAT相关配置,nat相关配置应该在防火墙策略里面进行相关配置。

在进行站点间通信测试时,如在防火墙上ping对端终端,记得带本站点的源地址ping,不然会出现acl无法匹配原地址,流量不进ipsec隧道导致不通的情况。

END