USG5520配置虚拟墙下的服务器通过根墙公网地址映射外网无法访问

发布时间:  2016-07-27 浏览次数:  125 下载次数:  0
问题描述
问题:USG5520配置虚拟墙下的服务器通过根墙公网地址映射外网无法访问
告警信息
处理过程

1.测试内网通过服务器内网IP加内部端口能访问到服务器,说明服务器本身的服务器没有问题

2.测试防火墙和服务器互ping能通,说明二者路由可达

3.检查运营商是否封闭了端口号,在外网发起访问测试,防火墙上能看到回话,排除

4.检查防火墙安全策略,默认放行了所有

5.检查防火墙配置,映射部分如下: 
nat server 1  protocol tcp global interface GigabitEthernet0/0/1 1001 inside 192.168.1.150 1001 no-reverse vpn-instance vfw2

说明:此处GigabitEthernet0/0/1为根墙网络出接口

配置不正确

根因
服务器映射配置不正确
解决方案
把nat server 1  protocol tcp global interface GigabitEthernet0/0/1 1001 inside 192.168.1.150 1001 no-reverse vpn-instance vfw2
改为:nat server 1  vpn-instance vfw2  protocol tcp global interface GigabitEthernet0/0/1 1001 inside 192.168.1.150 1001 no-reverse vpn-instance vfw2

建议与总结

虚拟墙下的服务器要映射到根墙的公网出口时,参考:

nat server name [ vpn-instance vpn-instance-name1 ] protocol protocol-type global { global-address | interface interface-type
interface-number } [ global-port ] [ global-port-end ] inside host-address [ host-address-end ] [ host-port ] [ no-reverse ] [
vpn-instance vpn-instance-name2 ]


配置,前后都需要配置VPN实例

END