防火墙配置IPSEC后总部服务器无法访问分部网段的资源

发布时间:  2016-03-14 浏览次数:  250 下载次数:  0
问题描述

如图:总部有一台服务器需要提供给公网用户访问,于是在总部防火墙上配置了如下的NAT Server

nat server protocol tcp global 1.1.1.1 9980 inside 192.168.1.2 80

总部防火墙IPSec的部分配置如下:

#                                                                            

acl number 3000      //*定义需要进行IPSec封装的数据流*//                             

  rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.0.0.255              

#                                                                            

ipsec policy map1 10 manual                                                      

 security acl 3000    //*引用acl,只有符合acl3000的数据流才会被送入IPSec隧道封装*//        

 proposal tran1                                                                

                    

因为总部192.168.1.0/24网段员工需要访问公网,所以还配置了如下的源NAT策略:

#                                                                             

nat-policy interzone trust untrust outbound   

 policy 0                 // 针对ACL192.168.1.0去往10.0.0.0的数据流不进行NAT转换。                              

  action no-nat                                                                 

  policy source 192.168.1.0 mask 24                                                

  policy destination 10.0.0.0 mask 24                                        

  policy 5                                                                     

  action source-nat                                                             

  policy source 192.168.1.0 mask 24                                                

  easy-ip GigabitEthernet0/0/1          

我们发现了一个很奇怪的现象:

分部的员工可以访问总部服务器的私网地址192.168.1.2

总部192.168.1.0/24网段的员工也能正常和分部的10.0.0.0/24网段通信

但总部的服务器却无法访问分部10.0.0.0/24网段的资源,删除NAT Server配置后就能正常访问。

告警信息


处理过程

配置NAT Server时加上no-reverse参数,不生成反向Server-map表项就可以了

根因

总部Server ping分部PC时,总部的防火墙上可以看到这样一条会话:

<FW> display firewall session table source inside 192.168.1.2                            

  icmp  VPN:public --> public 192.168.1.2:512[1.1.1.1:512]-->10.0.0.2:2048               

可以看出,防火墙将报文的源地址由192.168.1.2转变成了1.1.1.1

防火墙的报文处理流程中,反向Server-map表项是比源NAT策略优先匹配的,报文匹配到反向Server-map表项后,源地址被转换为1.1.1.1。这样,报文就不再匹配源NAT策略了。
建议与总结

指定no-reverse参数后,设备生成的Server-map表只有正方向,内部服务器主动访问外部网络时,设备无法将内部服务器的私网地址转换成公网地址,内部服务器也就无法主动向外发起连接。

END