USG2160使用ipsec vpn部分地址不通

发布时间:  2016-02-14 浏览次数:  261 下载次数:  0
问题描述

拓扑图如下:


 

两局点间使用USG2100作为出口网关NAT设备及建立IPSec隧道,目前在两端USG上带源地址访问对端设备能ping通,通过查看ike sa、ipsec sa里面都有建立信息,但是在web服务器ping对端终端地址一直不通,即FW-234下WEB服务不能通过IPSEC VPN访问对端业务,在两端FW上面查看IPSEC SA 信息都正常;

相关配置如下(安全区域策略配置省略):

FW-234上关键配置:

nat server 0 protocol tcp global 1.1.1.1 1000 inside 192.168.1.10 3389

#

 acl number 3000

 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.100.0 0.0.0.255

#

ike proposal 1

 authentication-algorithm md5

 sa duration 5000

#

ike peer a

 pre-shared-key abcde

 ike-proposal 1

 remote-address 2.2.2.2

#

ipsec proposal prop19122432297

#

ipsec policy map1 1 isakmp

 security acl 3000

 ike-peer a

 proposal prop19122432297

 sa duration traffic-based 1843200

 sa duration time-based 3600

#

interface Ethernet0/0/0

 ip address 1.1.1.1 255.255.255.0

 ipsec policy map1

#

nat-policy interzone trust untrust outbound

 policy 0

  action no-nat

  policy source 192.168.1.0 mask 24

  policy destination 192.168.100.0 mask 24

  easy-ip Ethernet0/0/0

 

 

FW-218上关键配置:

#

acl number 3000

 rule 5 permit ip

#

ike proposal 1

 authentication-algorithm md5

 sa duration 5000

#

ike peer b

 pre-shared-key abcde

 ike-proposal 1

 remote-address 1.1.1.1

#

ipsec proposal prop19122432297

#

ipsec policy map1 1 isakmp

 security acl 3000

 ike-peer b

 proposal prop19122432297

 sa duration traffic-based 1843200

 sa duration time-based 3600

#

interface Ethernet0/0/0

 ip address 2.2.2.2 255.255.255.0

 ipsec policy map1

#

nat-policy interzone trust untrust outbound

 policy 0

  action no-nat

  policy source 192.168.100.0 mask 24

  policy destination 192.168.1.0 mask 24

  easy-ip Ethernet0/0/0

处理过程

1.收集信息,查看防火墙会话信息;

192.168.1.10WEB服务器上长ping对端地址,查看后发现地址始终被NAT转化为公网地址没有匹配IPSEC流;所以初步判断为源NATno-nat配置有误;

icmp  VPN:public --> public 192.168.1.10:512[1.1.1.1:512]-->192.168.100.1:2048

2、检查源NAT下配置

nat-policy interzone trust untrust outbound

 policy 1

  action no-nat     确定IPSEC兴趣流已经做no-nat

  policy source 192.168.1.0 mask 24

  policy destination 192.168.0.0 mask 16

  easy-ip Ethernet0/0/0

     policy 10

  action source-nat

  policy source 192.168.1.0 mask 24

  easy-ip Ethernet0/0/0

3、重新检查配置是否有针对此服务器有做端口映射,经检查很多关于此服务器的NAT server配置而且都没有加禁止内部服务器主动访问外部网络参数- no-reverse ;

nat server 0 protocol tcp global 1.1.1.1 1000 inside 192.168.1.10 3389

4、建议客户另外找一台电脑ping对端终端地址,如果能ping通基本就可以确定是由于NAT server map建立反向会话造成未能匹配IPSEC VPN流;

根因

FW-234上有关于Web服务器NAT server配置,但是没有阻止建立反向会话;

解决方案

要实现服务器到对端流也要通过IPSEC隧道,需要在每一条NAT server 后面加上no-reverse 参数阻止建立反向会话;

建议与总结
按着现网环境适当指定no-reverse参数,这样设备生成的Server-map表只有正方向,内部服务器主动访问外部网络时,设备无法将内部服务器的私网地址转换成公网地址,内部服务器也就无法主动向外发起连接。因此,通过指定no-reverse参数可以禁止内部服务器主动访问外部网络。 

END