USG6300的l2tp vpn能正常拨号,但无法访问内网服务器

发布时间:  2016-04-11 浏览次数:  455 下载次数:  0
问题描述
USG6300作为L2tp vpn的LNS端,客户端能正常l2tp拨号,但拨号后无法访问内网服务器
处理过程

1、l2tp能正常拨号,但无法访问内网服务器,首先怀疑是否虚接口没有加入到相应的安全区域,区域间的安全策略没有放开,检查配置发现虚接口已经加入到isp1区域,同时也放开了isp1到trust的安全策略;

2、是否防火墙到服务器的路由不通?在防火墙上ping服务器是正常的,排除路由不通问题;

3、是否客户端路由设置问题导致访问客户端访问服务器的报文没有进入l2tp通道?跟客户核实客户端为手机,应该不存在路由设置问题;

4、检查防火墙会话表,由于手机没有ping功能,由内网服务器反向ping手机通过l2tp拨号获取到的地址;

<USG6300>display firewall session table verbose destination global 192.168.100.252
16:30:11  2016/03/21
  Current Total Sessions : 1
   icmp  VPN:public --> public  ID: a58f3ccb280f012b5c56f02242
   Zone: trust--> isp1  TTL: 00:00:20  Left: 00:00:14 
   Output-interface: GigabitEthernet1/0/1  NextHop: 1.1.1.2  MAC: 00-00-00-00-00-00
   <--packets:0 bytes:0   -->packets:5 bytes:420
   10.10.18.3:44062[1.1.1.1:2048]-->192.168.100.252:2048 PolicyName: policy_l2tp_1

从会话表看内网服务器ping手机时报文已经发出,但没有收到回应报文,是手机终端问题?但仔细检查会话表发现报文的出口直接是公网出口,不合理,正常应该是走VT虚接口的,为何直接走物理接口?

5、进一步检查防火墙配置发现防火墙为多出口,启用了策略路由并强制服务器地址网段从GE1/0/1出去,应该是策略路由导致;

6、修改策略路由,在原有策略路由上添加一条源地址是服务器网段,目的地址是手机客户端地址段,动作是no-pbr不做策略路由的规则,配置后能正常访问,查看防火墙会话表也可以看出正常从VT口出去;

<USG6300>display firewall session table verbose destination global 192.168.100.252
16:33:15  2016/03/21
  Current Total Sessions : 1
   icmp  VPN:public --> public  ID: a58f3ccb280f012b5c56f02242
   Zone: trust--> isp1  TTL: 00:00:20  Left: 00:00:14 
   Output-interface: Virtual-Template0:0  NextHop: 192.168.100.252  MAC: 00-00-00-00-00-00
   <--packets:5 bytes:420   -->packets:5 bytes:420
   10.10.18.3:44062[1.1.1.1:2048]-->192.168.100.252:2048 PolicyName: policy_l2tp_1

根因
策略路由导致l2tp报文没有从l2tp隧道出去
解决方案

将l2tp业务流量报文从策略路由中排除

END