USG6300内网用户通过公网地址访问内网服务器失败

发布时间:  2016-04-11 浏览次数:  268 下载次数:  0
问题描述

配置内网用户通过公网地址访问内网服务器功能后,测试时访问失败。

内网服务器地址是192.168.255.10,映射的公网地址是X.X.X.138

测试时使用同内网服务器在同一个网段的主机192.168.255.20,ping地址X.X.X.138提示请求超时。

处理过程

1.       查看设备的NAT相关配置信息如下:

#

nat server 2008 global X.X.X.138 inside 192.168.255.10

#

nat address-group 2

 section 0 X.X.X.138 X.X.X.138

#

nat-policy

rule name dianxin

  source-zone trust

  egress-interface GigabitEthernet1/0/3

  source-address 192.168.0.0 mask 255.255.0.0

  action nat address-group 2

#

2.       通过对上面配置进行分析,没有发现问题,然后在测试时查看会话表项得到如下信息(部分信息已省略):

<USG>display firewall session table verbose

Current Total Sessions : 4

  icmp  VPN:public --> public

  Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:15

  Interface: GigabitEthernet0/0/3  NextHop: X.X.X.137  MAC: 00-e0-fc-51-5e-7e

  <--packets:0 bytes:0   -->packets:1 bytes:60

  192.168.255.20:15347[X.X.X.138:2078]-->X.X.X.138:2048[192.168.255.10:2048]

通过会话表项可知,当192.168.255.20访问X.X.X.138时,源和目的IP都进行了转换,但转换后的报文却转发给了untust域的G0/0/3接口(电信出口),报文根本没有从内网接口转发出去。出现此问题的可能原因为设备在转发报文时匹配了策略路由。

3.       仔细查看配置发现存在如下策略路由配置:

#

policy-based-route

 rule name 1

  source-zone trust

  source-address 192.168.255.0 mask 255.255.255.0

  action pbr next-hop X.X.X.137

 rule name 2

  source-zone trust

  source-address range 192.168.1.0 192.168.5.255

  action pbr next-hop 10.24.90.129

#

由于报文会匹配策略路由进行转发,因此会出现上面的现象。与客户沟通后得知,由于防火墙有双出口,配置策略路由的目的是让服务器响应外网服务请求时走电信的出口。

解决方案

1种方案(直接删除策略路由中的规则1,使得访问内网的数据不会被重定向到公网上,再开启源进源出功能):

  删除策略路由中的rule name 1规则,同时为了满足客户的需求,在电信出接口下配置源进源出功能,即进入g0/0/3接口下,输入reverse-route nexthop X.X.X.137即可(X.X.X.137为电信出口网关IP)。

 

2种方案(修改策略路由,使得访问内网的数据不会被重定向到公网上):

  当配置了多条策略路由规则时,将按照规则在界面上的排列顺序从上到下依次匹配,只要匹配了一条规则的所有条件,则按照动作与选项进行处理,不再继续匹配剩下的规则。因此,可增加一条策略路由规则(目的地址是内网网段),并将其放在rule name 1前面(可通过rule move neifu before 1命令调整策略路由规则的优先级),修改后的配置如下:

#

policy-based-route

 rule name neifu

  source-zone trust

  destination-address 192.168.0.0 mask 255.255.0.0

 rule name 1

  source-zone trust

  source-address 192.168.255.0 mask 255.255.255.0

  action pbr next-hop X.X.X.137

rule name 2

  source-zone trust

  source-address range 192.168.1.0 192.168.5.255

  action pbr next-hop 10.24.90.129

#

END