USG2200与USG2100建立IPSec隧道后,内网一个IP地址无法与远端网段通信

发布时间:  2015-09-24 浏览次数:  1248 下载次数:  0
问题描述
USG2200与USG2100对接IPSec VPN已经成功,USG2200下连192.168.13.0/24网段与USG2100下连192.168.103.0/24网段已经可以互访,但是USG2200下连IP为192.168.13.11的PC无法访问远端的设备,远端设备主动访问192.168.13.11可以成功访问。
处理过程
步骤 1 使用192.168.13.11 ping USG2100接口IP 192.168.103.1,在USG2200上查看会话表信息如下,可以看出源IP地址出网时被转换成了公网口IP。

[USG2200]display firewall session table verbose source inside 192.168.13.11
Current Total Sessions : 1
  icmp  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:18
  Interface: GigabitEthernet0/0/0  NextHop: 192.168.103.1  MAC: 00-00-00-00-00-00

  <--packets:0 bytes:0   -->packets:1 bytes:60
  192.168.13.11:43827[58.56.90.30:43827]-->192.168.103.1:2048

步骤 2 检查源NAT配置,正常。

nat-policy interzone trust untrust outbound
policy 2
  action no-nat
  policy source 192.168.13.0 mask 24
  policy source 192.168.12.0 mask 24
  policy destination 192.168.100.0 mask 24
  policy destination 192.168.101.0 mask 24
  policy destination 192.168.102.0 mask 24
  policy destination 192.168.103.0 mask 24

policy 1
  action source-nat
  policy source 192.168.10.0 mask 24
  policy source 192.168.12.0 mask 24
  policy source 192.168.13.0 mask 24
  policy source 192.168.1.0 mask 24
  easy-ip GigabitEthernet0/0/0

步骤 3 检查NAT Server配置,发现设备上存在一条nat server命令。192.168.13.11去访问远端IP时,匹配反向server-map表,直接将源IP地址转换成58.56.90.30。

nat server 11 protocol tcp global 58.56.90.30 3389 inside 192.168.13.11 3389
根因
当NAT Server后面没有配置no-reverse参数时,表示正反向server map都创建,且server map的优先级高于域间的NAT策略,因此该内网IP报文经过域间的是时候会命中反向server map表。
解决方案
修改nat server命令为不创建反向server-map表。

nat server 11 protocol tcp global 58.56.90.30 3389 inside 192.168.13.11 3389 no-reverse
建议与总结
IPSEC VPN建立成功后两边用户无法互访需要注意以下几点:

1、两边用户数据是否在感兴趣流里面(security acl)

2、域间策略是否放开,一般IPSEC VPN互访的数据是从外网区域进来的,需要放开外网区域到内网区域之间的域间策略

3、NAT配置问题,走IPSEC VPN的数据不需要做nat,但是nat处理过程是在将数据放入隧道之前,所以需要修改配置让走隧道的数据不做nat,除了域间nat,还需要关注nat server的反向server-map表,具体可以通过查看会话表来看数据是否被转换了。

END