USG6000-L2TP拨号成功后无法ping通防火墙本地接口地址

发布时间:  2015-09-02 浏览次数:  544 下载次数:  0
问题描述
L2TP拨号成功后无法web访问防火墙本地接口地址
告警信息

不涉及

处理过程

拓扑:

处理步骤:

1.   安全策略

检查防火墙安全策略,发现已经放过trust,untrustlocal区域的任何服务,但实际没有任何命中。

2.   接口访问控制管理

检查本地接口访问控制管理已经打开ping,http,httpspermit

3.   L2TP配置检查

发现虚拟接口下没有配置访问控制管理,配置后远程拨号后可以成功ping通防火墙本地接口地址,远程web访问成功。

备注:

配置该命令后,即使没有开启该接口所在区域和Local区域之间的安全策略,IT管理员也能通过该接口对设备实施管理

说明华为防火墙包转发过程中安全策略(security policy)优先级低于接口访问控制管理(service-manage)

相关配置:

firewall zone untrust

 set priority 5

add interface Virtual-Template1

 

interface Virtual-Template1

 ppp authentication-mode chap pap

 description access_VPN

 alias L2TP_LNS_1

 ip address 10.1.1.1 255.255.255.0

 remote address pool 0

service ping permit

service http permit

service https permit

 

l2tp-group 1

 allow l2tp virtual-template 1

 tunnel password cipher Ceshi@123

aaa

domain ceshi

service-type internetaccess

ip pool 0 192.168.1.2 192.168.1.200

l2tp-user 1234@ceshi ip 192.168.1.10

reference user current-domain

new-user deny-authentication

根因

虚拟接口下没有配置访问控制管理导致远程访问失败

解决方案

打开虚拟接口下的访问管理

建议与总结
根据客户需求,区别管理员和员工使用的L2TP关联的虚拟接口,打开管理员使用的L2TP账号关联的虚拟接口即可,保证网络安全。

END