USG5300内网用户NAT访问外部PPTP服务器故障

发布时间:  2015-01-19 浏览次数:  301 下载次数:  0
问题描述

客户使用一台USG5300防火墙作为互联网的出口网关,其上网业务正常,但是内部的用户无法访问外部的PPTP服务器。客户在USG5300防火墙上只配置了简单的源NAT地址转换,而且是在出接口e0/0/0下配置的nat enable。

处理过程

首先客户的内网用户可以正常上网,那么说明了NAT源地址的转换是没有问题的。考虑到PPTP是一个多通道协议,那么着重检查nat aspf 以及nat alg功能的配置。

1. 检查配置发现没有开启域间的aspf功能,于是在firewall interzone trust untrust 开启detect pptp;完成该步骤后在内部PC上测试访问外部的PPTP服务器,仍然无法访问;

2. 检查NAT的转换位置,发现不是在域间转换的,而是在外网接口 e0/0/0下配置的nat enable,于是在该接口下配置detect pptp;完成该步骤后在内部PC上测试访问外部的PPTP服务器,此时可以正常访问。

  

根因
在USG5300上两个功能是通过同一个命令来实现的 ,但是又有其不相同的地方:

“ASPF功能的目的是识别多通道协议,并自动为其开放相应的包过滤策略。 NAT ALG功能的目的是识别多通道协议,并自动转换报文载荷中的IP地址和端口信息。”
一个强调的是包过滤策略,而另外一个强调的是转换报文载荷中的IP地址以及端口信息。 同时注意使能NAT ALG时需要配合NAT 转换使用,因而需要在NAT生效的地方进行调用。

解决方案
明确NAT的生效的位置,从而正确的调用NAT ALG功能。

END