NGFW单板连接外网后内网用户无法访问外网PPTP服务器

发布时间:  2016-01-08 浏览次数:  107 下载次数:  1
问题描述
NGFW为内网出口,内网PC无法拨通外网服务器域名为:xxxx.wicp.net但通过网页可以打开。利用其它网络PC可以拨通外网服务器,显示正常。
告警信息

无法建立远程计算机连接。如图示:

处理过程

内网PC无法拨通外网路由器域名为:xxxx.wicp.net但通过网页可以打开。可能原因:
1. 对端服务器设置不正确。
2. 内网PC设置不正确。
3. 出口NGFW设置不正确。

1、 对端服务器设置不正确
使用其他网络PC进行拨号,拨号成功,页面正常开启。
结果如图示:



排除对端路由器设置问题
2、内网PC设置不正确
将内网PC接入其他网络,进行拨号,拨号成功,页面开启。
结果如图示:



排除内网PC设置错误问题
3、 出口NGFW设置不正确
将防火墙域间策略全部放行,使用PC拨号失败。

结果如图示:



内网向外网拨号,使用的为pptp协议,防火墙默认不允许此协议报文通过,因此出现内网PC拨不出去的情况。
在域间接口下输入:
YYGG[NGFW Module]    firewall interzone trust untrust   
  YYGG[NGFW Module-interzone-trust-untrust]   detect pptp
输入完成,PC拨号成功:

结果如图示:


根因
内网PC无法拨通外网路由器域名为:xxxx.wicp.net但通过网页可以打开,原因是内网向外网拨号,使用的为pptp协议,防火墙默认不允许此协议报文通过导致。
解决方案
内网PC无法拨通外网路由器域名为:xxxx.wicp.net但通过网页可以打开。解决办法如下:
1. 对端服务器设置不正确。
经过更换不同网络,服务器正常访问,排除。
2. 内网PC设置不正确。
经过将内网PC更换位置,访问成功,排除。
3. 出口NGFW设置不正确。
经过NGFW单板放行PPTP,内网访问正常,问题解决。
建议与总结
在使用防火墙时,有特殊业务时,应先考虑业务使用什么协议,以便在防火墙中允许放行。

END