Eudemon1000E重新拨号后SSL VPN虚拟网关IP显示127.0.0.1

发布时间:  2015-05-13 浏览次数:  219 下载次数:  0
问题描述



Eudemon1000E是拨号上网,客户已经申请了动态域名。域名关联是通过一台内网服务器,通过花生壳进行关联的
在上图的IP地址栏会显示的外网口拨号获取的IP,但是运营商接过来的猫断电后或者设备断电重启后,这个地方显示就是127.0.0.1,不能识别到此时外网口拨号获取到的IP。
然后外网就不能通过域名访问到虚拟网关了,但是通过域名访问防火墙、内网用户上网都是没有问题的。如果把拨号获取到的IP又复制到虚拟网关里面,又可以通过域名访问到虚拟网关了。

 

处理过程
配置拨号口到内网接口地址的映射,并将内网接口地址作为虚拟网关IP地址,如下:

[USG]v-gateway vg1 x.x.x.x private          //X.X.X.X为内网接口地址
[USG]nat server protocol tcp global interface Dialer0  443 inside x.x.x.x 443       //X.X.X.X为内网接口地址
根因

设备接口通过ADSL拨号上网,每次获取的IP地址不同。

创建虚拟网关时,可以指定使用接口IP地址作为接入IP,并在该IP的443端口监听。
[USG2200]v-gateway vg1 interface Dialer0 private

这种情况下,当接口重新拨号获取新IP地址后,虚拟网关业务无法使用。 需要执行如下指令,虚拟网关才会在新IP地址的443端口重新监听,业务才会恢复。
[USG2200]v-gateway vg1 interface Dialer0
 

解决方案
配置虚拟网关使用内网IP地址,并将拨号接口NAT映射到内网IP地址,可解决接口重新拨号后虚拟网关业务无法使用的问题:

[USG2200]v-gateway vg1 x.x.x.x private
[USG2200]nat server protocol tcp global interface Dialer0 443 inside x.x.x.x 443
这里,x.x.x.x是设备内网IP地址,也作为虚拟网关IP地址。

Nat server将拨号接口映射到内网IP地址。在接口拨号获取新IP地址后,用户使用新IP地址访问虚拟网关业务,业务报文仍能命中此Nat策略,所以不会有问题。

END