USG5100 专线不能访问外网

发布时间:  2014-11-26 浏览次数:  274 下载次数:  0
问题描述
用户通过L2TP拨号拨到总部防火墙上(所有流量只能发送到防火墙上),可以访问防火墙及内网资源,但不能通过防火墙访问外网。
告警信息
处理过程
1.查看配置,发现是V100R003的老版本防火墙,配置方面没有太大的问题。
2.指导用户ping防火墙的地址,在防火墙上查看,数据发送和接收正常。
3.指导用户ping  8.8.8.8,并且查看会话,发现用户数据显示如下:
    <USG5510>display firewall session table verbose destination  global 8.8.8.8
10:07:52  2014/10/29
Current Total Sessions : 1
  icmp  VPN:public --> public
  Zone: vpn--> untrust  TTL: 00:00:20  Left: 00:00:18
  Interface: GigabitEthernet0/0/0  NextHop: 203.12.x.x  MAC: 00-18-82-c6-68-2c
  <--packets:0 bytes:0   -->packets:10  bytes:340
    192.168.10.10:43989-->8.8.8.8:2048     //发现会话没有做NAT,就直接发到外网了
4.查看NAT配置。
   firewall interzone untrust vpn
     nat outbound 3011 address-group 1
   acl 3011
   发现ACL 3011下没有任何的配置,手工加入一条命令:
    acl 3011
      rule 10 permit ip
5.在访问外网时,访问正常。
根因
客户配置错误,ACL下没有策略,就匹配中默认的deny策略,导致NAT没有生效,网络不通。
解决方案
建议与总结

END