内网用户由于配置了域内NAT无法主动访问L2TP拨号客户端

发布时间:  2014-12-06 浏览次数:  220 下载次数:  0
问题描述
USG2210作为公网出口。公网客户可以使用L2TP拨号方式访问内部网络的资源,拨号成功后获取到IP地址,客户端可以访问内网资源,但是内网无法主动访问客户端。
处理过程
内网用户去pingL2TP客户端地址,发现去访问时做了NAT转换。
<huawei> display firewall session table verbose
Current total sessions: 1
  icmp  VPN: public -> public
  Zone: trust -> trust  TTL: 00:00:20  Left: 00:00:17 
  Interface: [No Intf]  Nexthop: 192.168.103.2  MAC: 00-03-fa-c2-1f-3c
  <-- packets:0 bytes:0   --> packets:0 bytes:0
  192.168.0.13:512[221.226.56.37:51206]-->192.168.103.2:512
查看对应内网trust区域配置,发现配置了域内NAT。
<huawei> display zone trust
#
firewall zone trust
set priority 85                         
nat 2001 address-group 1
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/1
查看ACL配置发现:
<huawei> display acl 2001
Basic ACL  2001, 1 rule,not binding with vpn-instance
Acl's step is 5
rule 5 permit
内网用户主动访问L2TP 客户端的报文在Trust域内中匹配了ACL 2001,进行了源IP地址转换,导致L2TP 客户端无法响应转换后的IP地址。
解决方案
您可以在创建一条新的规则ACL 3001,定义一条目的地址为192.168.103.0/24、动作设置为deny的规则,使目的地址为L2TP client的报文不匹配域内的NAT策略;定义一条地址信息为any、动作为permit的规则,使其他的报文可以匹配域内NAT策略。具体操作如下:

<huawei> system-view
[huawei] acl 3001
[huawei-acl-adv-3001] rule deny ip destination 192.168.103.0 0.0.0.255
[huawei-acl-adv-3001] rule permit ip
[huawei-acl-adv-3001] quit
然后在Trust域内配置NAT时引用ACL 3001:
[huawei] firewall zone trust
[huawei-zone-trust] undo nat 2001 address-group 1
[huawei-zone-trust] nat 3001 address-group 1
建议与总结
L

END