USG2200(V3R1)vpn用户和内部用户访问专线不通

发布时间:  2014-12-30 浏览次数:  160 下载次数:  0
问题描述
拓扑图:

需求:
1, 内网用户192.168.8.0网段访问专网服务器,要访问172.50.10.170(172.50.10.170需要映射到10.28.28.51)
2, SSL VPN用户(192.168.16.0/24)也需要访问172.50.10.170映射的专网服务器。
3, 内网在trust区域,电信线路在untrust区域,专网在zhuanxian区域。

处理过程
1, 内网用户访问172.50.10.170 不成功,通过查看会话详细得知有过去的报文,没有回来的报文。
2, SSL VPN用户访问172.50.10.170不成功,通过查看会话详细得知有过去的报文,没有回来的报文。
内网用户去访问专网服务器,访问172.50.10.170(10.28.28.51),nat server转换是成功的,在10.28.28.51服务器看到过来的报文源为192.168.8.0/24或192.168.16.0/24,而服务器10.28.28.51没有到达192.168.8.0/24和192.168.16.0/24的路由,所以访问不成功。
客户称不能在10.28.28.51服务器这边增加回来的路由。
所以在USG5120上做nat outbound 。
Nat outbound操作如下:
nat address-group 10 172.50.10.170 172.50.10.170
nat-policy interzone trust zhuanxian outbound
policy 10
  action source-nat
  policy source 192.168.8.0 0.0.0.255
  policy source 192.168.16.0 0.0.0.255   
  policy destination 172.50.10.170 0
  policy destination 172.50.10.169 0
  address-group 10

配置了nat outbound后问题解决。
建议与总结
仔细分析报文是如何走的,如何回的,可以了解的报文是在哪里丢了。

END