usg6330与对端usg2200做ipsec vpn不通

发布时间:  2016-09-10 浏览次数:  181 下载次数:  0
问题描述

usg6300与对端usg2110做ipsec对接,隧道建立起来了,但是usg6300内网中的服务器访问对端内网不通。

处理过程

1、首先确定对接ipsec vpn设备中间没有经过nat转换,所以无需配置nat穿越。

2、检查ipsec vpn两端感兴趣流的配置,服务器包括在感兴趣流范围内。

3、检查usg6320的会话表项:

 <USG6300>display firewall session table verbose destination inside 192.168.4.20

 12:22:11  2016/09/08

  Current Total Sessions : 1

   icmp  VPN:public --> public  ID: a58f4036074e835de957d14482

   Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:18  

   Output-interface: GigabitEthernet1/0/0  NextHop: 222.210.88.1  MAC: 00-90-1a-a0-7b-ed

   <--packets:0 bytes:0   -->packets:996 bytes:59760

   192.168.10.88:1[222.210.88.14:1]-->192.168.4.20:2048 PolicyName: ipsec2 

4、很明显usg6320内网服务器的192.168.10.88去访问192.168.4.20时,流量被nat转换了。

5、但是检查配置,发现已对感兴趣流量执行了no-nat:

nat-policy
rule name ipsec
  source-zone trust
  destination-zone untrust
  source-address address-set hq
  destination-address address-set sub
  action no-nat


6、检查usg6320 server-map表项:

Nat Server Reverse, 192.168.10.88[222.210.88.14] -> any, Zone: ---
   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
   VPN: public -> public

7、发现有关于该服务地址的server-map表项,该服务器之前有做服务器映射:

nat server 88_3002 protocol tcp global 222.210.88.14 3002 inside 192.168.10.88 3002


 

根因
    服务器映射生成静态server-map表项,服务器映射生成的反向session表项优先级高于VPN,因此,感兴趣流量没有进VPN隧道,导致服务器无法正常访问对端私网。
解决方案

    将nat server配置最后加上关键字no-reverse即可。

END