USG6550源NAT导致IPSEC建立不成功

发布时间:  2015-06-06 浏览次数:  466 下载次数:  0
问题描述

组网:本端USG6550,对端H3C路由器
USG6550版本:V100R001C30;H3C那边设备较老,只支持IKEv1的版本,中间没有NAT设备。

IKE和IPSEC的参数都匹配,没有发现问题
USG
IKE参数:
[USG6500]dis ike prop
10:01:47  2015/06/05
priority authentication authentication encryption Diffie-Hellman duration
              method       algorithm    algorithm     group       (seconds)
---------------------------------------------------------------------------
1        PRE_SHARED     SHA1           DES_CBC    MODP_768       86400 

IPSEC参数 :
ipsec proposal 1
esp authentication-algorithm sha1
esp encryption-algorithm 3des

H3C:
IKE参数:
ike peer to-aisibo2      //没有调用IKE提议,默认的IKE参数
pre-shared-key simple xxxx
remote-address 171.8.X.X
local-address 222.74.X.X

default  PRE_SHARED     SHA         DES_CBC         MODP_768       86400

IPSEC参数:
ipsec proposal xxxx
esp authentication-algorithm sha1
esp encryption-algorithm 3des

IKE协商状态:
<USG6500>dis ike sa
16:51:37  2015/06/05
current ike sa number: 2
--------------------------------------------------------------------------------------------------
conn-id    peer                                    flag          phase vpn   
--------------------------------------------------------------------------------------------------
1001494    222.74.X.X                           NEG|A         v1:2  public
1001493    222.74.X.X                           NEG|A         v1:1  public

告警信息

处理过程
查看目的端口为500的IKE会话信息:
<USG6500>display firewall session table verbose destination-port 500
16:52:22  2015/06/05
  Current Total Sessions : 1
   udp  VPN:public --> public  ID: a58f3fcf3057040050557070f0
   Zone: local--> untrust  TTL: 00:02:00  Left: 00:01:26 
   Output-interface: GigabitEthernet1/0/0  NextHop: 171.8.X.1  MAC: 00-25-12-52-27-23
   <--packets:5483 bytes:536996   -->packets:6684 bytes:1223216
   171.8.X.X:500[171.8.X.X:2051]-->222.74.X.X:500 PolicyName: policy1    //可以看到会话的源IP虽然还是外网接口的IP,但是源端口500被转换了一次,导致不是以500为源端口向远端发起的会话。 

检查NAT的配置:
nat-policy                               
 rule name no_nat    //到对方内网网段的不做源NAT转换
  destination-zone untrust
  source-address address-set aisibo
  destination-address address-set center10
  action no-nat
 rule name GuideNat1433328506208
  egress-interface GigabitEthernet1/0/0      //easy-ip的NAT策略没有指定源安全区域,导致local区域到untrust也会做源NAT转换
  action nat easy-ip
根因

easy-ip的NAT策略里面没有指定源安全区域,导致local区域到untrust区域也做源NAT转换,IKE协商用的500端口被转换为2051,最终协商失败。

解决方案

easy-ip的NAT策略里面增加源安全域避免local域出去的也被NAT
nat-policy                               
 rule name GuideNat1433328506208
  egress-interface GigabitEthernet1/0/0
  source-zone trust      //指定源安全区域
  action nat easy-ip

END