USG2210 l2tp vpn拨通后不能访问LNS端一台服务器

发布时间:  2014-06-05 浏览次数:  309 下载次数:  0
问题描述
某局点,USG2210作为L2TP服务器,客户反馈L2TP拨号成功已经获得IP地址,并且能访问LNS设备内网接口IP地址,但是不能访问LNS下挂服务器。拓扑如下:
告警信息
处理过程
1、USG2210上检查安全策略,包过滤放开,没有问题;
2、USG2210上检查路由,发现路由没有问题,带公网地址可以ping通服务器;
3、LAC端ping服务器,查看会话,发现会话报文双向都有匹配
disp firewall  session table  verbose  source global 192.168.3.43
11:11:26  2014/05/30
Current Total Sessions : 1
  icmp  VPN:public --> public
  Zone: untrust--> trust  TTL: 00:00:20  Left: 00:00:15
  Interface: GigabitEthernet5/0/2  NextHop: 192.168.1.88  MAC: d4-be-d9-99-3f-ad
  <--packets:2 bytes:120   -->packets:2 bytes:120
  192.168.3.43:1-->192.168.1.88:2048
4、接口上做流量统计,发现正向转发正常,反向有丢包
 Protocol(ICMP) SourceIp(192.168.3.43) DestinationIp(192.168.101.212)  
SourcePort(1) DestinationPort(2048) VpnIndex(public)  
           Receive           Forward           Discard  
Obverse : 4          pkt(s) 4          pkt(s) 0          pkt(s)  
Reverse : 4          pkt(s) 0          pkt(s) 0          pkt(s)

5、怀疑内网口策略导致,查看配置,发现内网口做了策略路由,将服务器的回包指向了另一出口,导致不通。
6、修改策略路由,调整ACL规则,将目标地址是LAC端拨号地址的IP首先deny掉,让回LAC的数据不走策略路由,问题解决。
根因
USG2210内网口做了策略路由,服务器回包匹配策略路由,走向另一公网出口。
建议与总结

END