USG6300 策略路由导致内网PC无法使用公网IP访问内部服务器

发布时间:  2015-05-11 浏览次数:  242 下载次数:  0
问题描述

USG6300 策略路由导致内网PC无法使用公网IP访问内部服务器。

处理过程

1、引导用户检查访问会话信息,NAT转换正常;

[USG6300]display firewall session table verbose source inside 192.168.1.248

  http  VPN:public --> public  ID: a58f……54f32bf

  Zone: untrust--> trust  TTL: 00:00:05  Left: 00:00:00

  Output-interface: GigabitEthernet1/0/1  NextHop: 172.16.1.1  MAC: 54-……-d7-a8

  <--packets:2 bytes:104   -->packets:3 bytes:152

  192.168.4.88:57049[60.60.60.60:2239]-->60.60.60.61:80[192.168.1.251:5081]

2、核实用户策略路由:

 policy-based-route

 rule name web

  source-zone trust

  source-address 192.168.0.0 16

  destination-address 192.168.1.0 24

  action no-pbr

 rule name dianxin

  source-zone trust

  source-address 192.168.1.0 24

  source-address 192.168.4.0 24           

  track ip-link 1

  action pbr next-hop 60.60.60.1

根因

核实配置策略路由方式存在问题,用户针对内网访问服务器IP配置了不做引流,数据可以正常访问到服务;

但服务器返回数据包会命中策略路由“dianxin”,导致被策略路由发往60.60.60.1无法返回到访问PC导致访问失败。

解决方案

修改策略路由配置,对目的地址为内网网段的不做引流,保证内网用户访问双向数据正常,问题解决

修改方式:

policy-based-route

 rule name web

  source-zone trust

  destination-address 192.168.0.0 16

  action no-pbr


建议与总结

防火墙转发报文前也是需要先查找路由和策略路由的,所以做策略路由时需要考虑对来回报文的影响。

END