usg5530 SSL VPN故障

发布时间:  2014-12-03 浏览次数:  208 下载次数:  0
问题描述
版本信息:USG 5530 v300r001c10spc500
 组网拓扑:


配置脚本如下:
radius-server template shssl.tpl
#
ldap-server template shssl.tpl
ldap-server authentication 192.168.0.31 389
ldap-server authentication base-dn dc=sh,dc=austar,dc=com,dc=cn
ldap-server authentication manager cn=administrator,cn=users,dc=sh,dc=austar,dc=com,dc=cn %$%$gbkHDMF):Q}D.{R]".T:9>5,%$%$ %$%$gbkHDMF):Q}D.{R]".T:9>5,%$%$
ldap-server group-filter ou
ldap-server authentication-filter (objectclass=*)
ldap-server user-filter sAMAccountName
undo ldap-server authentication manager-with-base-dn enable
ldap-server server-type ad-ldap
#
#
interface GigabitEthernet0/0/1
ip address 222.222.25.147 255.255.255.192
ipsec policy tobjsjcrb auto-neg
#
domain shssl.dom
  authentication-scheme  shssl.scm
  authorization-scheme shssl.scm
  radius-server shssl.tpl
  ldap-server shssl.tpl
#
故障现象:
通过web界面在完成外部组中的LDAP组信息管理配置后点击搜索后,会提示“LDAP搜索失败”。
处理过程
1、在配置外部组配置中,“需要获取的属性”中的配置建议和“认证授权配置 > 认证授权服务器配置”中LDAP 服务器的 “组过滤字段”配置为一致,否则,不同组字段如果没有相同的属性,搜索将失败;建议客户进行“需要获取的属性”和“组过滤字段”比对,客户进行比对配置信息一致,问题未得到解决;

2、客户描述说FW和石家庄建立的SSL VPN是正常,新建和上海建议SSL VPN不成功,配置过程方式都一样,但是就上海配置不成功;让客户对LDAP服务的IP地址192.168.0.31进行ping测试,不通;在防火墙配置loopback地址带源地址ping测试可以ping通;
[sjz]ping 192.168.0.31
10:54:24  2014/12/01
  PING 192.168.0.31: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out

  --- 192.168.0.31 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss

[sjz]ping -a 192.168.9.200 192.168.0.31
11:06:02  2014/12/01
  PING 192.168.0.31: 56  data bytes, press CTRL_C to break
    Reply from 192.168.0.31: bytes=56 Sequence=1 ttl=126 time=70 ms
    Reply from 192.168.0.31: bytes=56 Sequence=2 ttl=126 time=80 ms
    Reply from 192.168.0.31: bytes=56 Sequence=3 ttl=126 time=60 ms
    Request time out
    Reply from 192.168.0.31: bytes=56 Sequence=5 ttl=126 time=40 ms

  --- 192.168.0.31 ping statistics ---
    5 packet(s) transmitted
    4 packet(s) received
    20.00% packet loss
    round-trip min/avg/max = 40/62/80 ms

3、建议客户采集配置信息进行问题定位分析:
#
interface GigabitEthernet0/0/1
ip address 222.222.25.147 255.255.255.192
ipsec policy tobjsjcrb auto-neg  //设备的出接口下调用了ipsec 策略;
#
4、由于防火墙的出接口调用了IPSEE策略,进一步查询感兴趣流配置:
 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 10 permit ip source 192.168.8.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 15 permit ip source 192.168.9.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
5、发现服务器的IP地址192.168.0.31为IPSec感兴趣流里面对端的IP地址;服务器在远端内网,需要通过ipsec隧道通信,需要将防火墙地址进入ipsec隧道;
6、建议客户在G0/0/1口配置源NAT,针对源地址为222.222.25.147和目的地址为192.168.0.31的包,修改其源IP地址,以匹配上IPSec的ACL规则。 
nat address-group 1 192.168.9.199 192.168.9.199 //为ACL3001里面感兴趣流里面的IP地址,根据具体组网情况分配;
#
interface GigabitEthernet0/0/1    //连接电信的出口
ip address 222.222.25.147 255.255.255.192
ipsec policy tobjsjcrb auto-neg
#
#
nat-policy interzone trust dianxin outbound   //进行源NAT转换,trust到dianxin域;
Policy 8
action source-nat
  policy source  255.255.255.192 0
  policy destination 192.168.0.31 0
  address-group 1

7、指导客户进行配置后让客户进行测试发现还是搜索失败,让客户再次进行对服务器IP地址192.168.0.31进行Ping测试不通,然后同时带目标地址在防火墙进行抓包:
[sjz]display firewall session table verbose destination global 192.168.0.31
15:11:35  2014/12/01
  Current Total Sessions : 1
   36516  ils  VPN:public --> public
   Zone: local--> dianxin  PolicyID: default  TTL: 00:00:05  Left: 00:00:00   //转换应该是local到dianxin,而不是trust到dianxin;
   Output-interface: GigabitEthernet0/0/1  NextHop: 222.222.25.129  MAC: 00-00-00-00-00-00
   <--packets:0 bytes:0   -->packets:1 bytes:44
   222.222.25.147:53144-->192.168.0.31:389
8、建议客户重新建议nat-policy策略进行端口GE0/0/1下源地址转换:
nat-policy interzone local dianxin outbound   //进行源NAT转换,local到dianxin域;
Policy 0
action source-nat
  policy source  255.255.255.192 0
  policy destination 192.168.0.31 0
  address-group 1

9、配置好后建议客户进行测试,发现可以ping通服务器ip地址192.168.0.31,且在web界面进行搜索是成功,问题解决。



根因
1、服务器在远端内网,需要通过ipsec隧道通信,需要将防火墙地址进入ipsec隧道;
2、用户登录或设备对LDAP服务器进行健康检测时,设备主动发起到LDAP服务器的连接请求(传送认证报文),其源IP为G0/0/1接口的主地址。请求信息匹配不上IPSec的ACL规则,不会透过IPSec隧道发送到LDAP服务器,所以认证失败。
解决方案
在G0/0/1口配置源NAT,针对源地址为222.222.25.147和目的地址为192.168.0.31的包,修改其源IP地址,以匹配上IPSec的ACL规则。
nat address-group 1 192.168.9.199 192.168.9.199 
nat-policy interzone local dianxin outbound   //进行源NAT转换,local到dianxin域;
Policy 0
action source-nat
  policy source  255.255.255.192 0
  policy destination 192.168.0.31 0
  address-group 1
建议与总结
1、在处理防火墙的VPN故障时,首先是比对配置;
2、在进行故障排查时建议客户抓包发送邮箱进行分析,这样对故障的定位、解决有很大帮助;

END