USG6680 L2TP OVER IPSEC接入后不能访问内网服务器

发布时间:  2016-02-29 浏览次数:  233 下载次数:  0
问题描述

USG6680双出口连接至互联网,通过策略路由实现服务器走10M线路,其他内网主机走100线路,在配置了策略路由后,PC客户端L2TP拨号不能访问内网的服务器。关键配置如下:

interface GigabitEthernet3/0/0                    //100M线路
ip address 171.XX.XX.XX 255.255.255.0
reverse-route nexthop 171.XX.XX.XX
service-manage https permit
service-manage ping permit
service-manage telnet permit
gateway 171.XX.XX.XX
#
interface GigabitEthernet3/0/1                     //10M线路
ip address 222.XX.XX.XX 255.255.255.0
reverse-route nexthop 222.XX.XX.XX
ipsec policy ipsec1822318495 auto-neg
service-manage http permit
service-manage https permit
gateway 222.XX.XX.XX

policy-based-route
rule name server
  ingress-interface GigabitEthernet1/0/0
  source-address address-set ser
  action pbr egress-interface GigabitEthernet3/0/1 next-hop 222.XX.XX.XX
rule name all
  ingress-interface GigabitEthernet1/0/0
  action pbr egress-interface GigabitEthernet3/0/0 next-hop 171.XX.XX.XX

处理过程

内网做策略路由,要求服务器网段ser(172.16.10.0)走3/0/1,其他网段走3/0/0接口。在没有配置策略路由的时候L2TP 用户192.168.195.3访问服务器172.16.10.13正常,但是在启用策略路由后手机不能访问172.16.10.13,查看会话却正常。如下:
<USG6600>display firewall session table verbose source inside 192.168.195.3 destination inside 172.16.10.13
15:43:46  2016/02/22
  Current Total Sessions : 1
   icmp  VPN:public --> public  ID: a68f68536315011a99056cb2c69
   Zone: untrust10M--> trust  TTL: 00:00:20  Left: 00:00:19    User: y
   Output-interface: GigabitEthernet1/0/0  NextHop: 10.10.10.2  MAC: 3c-e5-a6-d1-11-4b
   <--packets:72 bytes:6048   -->packets:72 bytes:6048
   192.168.195.3:38237-->172.16.10.13:2048
启用策略路由的时候,查看防火墙上的双向会话如下:

通过双向会话可以看到还是有一些有区别的地方,正向报文是从vertual-template0 进来,而反向报文是从3/0/1接口出去。

仔细分析报文的转发流程,防火墙收到报文后查询是否需要建立会话,如果需要会话,则查看server-map表项,而后查询路由,如果报文命中了策略路由,那么下一跳被指向物理接口而不是vertual-template0接口,因而出现了会话的异常。

根据分析,在策略路由中配置了服务器网段到L2TP客户端网段的数据不做策略路由,配置后测试客户端可以正常的访问服务器。

根因
防火墙收到报文后查询是否需要建立会话,如果需要会话,则查看server-map表项,而后查询路由,如果报文命中了策略路由,那么下一跳被指向物理接口而不是vertual-template0接口,因而出现了会话的异常。
解决方案
在策略路由中配置服务器网段到L2TP客户端网段的数据不做策略路由。

END