USG5150因目的NAT导致IPSEC无法建立

发布时间:  2015-06-27 浏览次数:  209 下载次数:  0
问题描述

某集团公司,总部使用USG5150固定公网IP地址,多个分支使用USG2130IP地址不固定,与总部建立IPSEC VPN,分支与总部通信一直正常。最近总部业务调整,割接当晚没有出现问题,第二天上班发现所有分支不能访问总部。

告警信息



处理过程

1、检查网络连通性,分支出口能ping通总部出口,网络连通性没有问题。

2、分支内网ping总部内网,有会话但对端没有回包,且ike sa显示对端peer没有发现,如下:

[fw1]display ike sa              

21:28:20  2015/06/27

current ike sa number: 1

--------------------------------------------------------------------------------------------------

conn-id    peer                                    flag          phase vpn    

--------------------------------------------------------------------------------------------------

197        <unnamed>                               NONE|A        v1:1  public

3、在总部查看会话,发现到接口地址做了NAT地址转换,到一个内网服务器上

 udp  VPN:public --> public  ID: a58f362b37c1016a7a558eba6a

  Zone: untrust--> local  TTL: 00:02:00  Left: 00:00:28  

  Output-interface: GigabitEthernet0/0/3  NextHop: 10.1.50.12  MAC: 80-fb-06-38-d9-23

  <--packets:0 bytes:0   -->packets:12 bytes:1874

  X.X.X.X:500-->Y.Y.Y.Y:500[192.168.2.10:500] PolicyName: ipsec_out 

4、检查总部配置,发现untrust域做了一条目的NAT,其中,ACL3005包含了总部专网接口地址Y.Y.Y.Y,导致分支发起的IPSEC数据在总部NAT转换到内网服务器192.168.2.10的UDP500端口,因此IPSEC报文无应答

firewall zone untrust

 destination-nat 3005 address 192.168.2.10

5、调整目的NAT配置解决问题。

根因

总部目的NAT导致UDP500端口报文发送到内部服务器,内网服务器无应答,IPSEC无法建立。

解决方案

调整总部目的NAT的ACL3005配置,不包含Y.Y.Y.Y,分支再次发起协商,IPSEC建立成功。

建议与总结

END