NGFW双机热备外网物理口配置私网地址,公网地址为vrrp虚拟地址情况下,不能在防火墙上访问外网域名

发布时间:  2016-10-08 浏览次数:  131 下载次数:  0
问题描述

NGFW双机热备外网物理口配置私网地址,公网地址为vrrp虚拟地址情况下,不能在防火墙上访问外网域名

1. dns服务器地址已经配置了


2. ping dns地址是可以通的,但是域名不通


告警信息
处理过程

注:配置和图片中涂掉的部分为公网地址

1.检查配置dns已经配置了,且内网可以访问外网域名

dns resolve
dns
server 202.102.152.3

dns transparent-proxy enable
dns transparent-proxy server 202.102.152.3

2. 公网接口虚拟地址是公网地址,物理接口是私网地址

nterface GigabitEthernet1/0/2
alias
联通2
ip
address 192.168.3.1 255.255.255.0

vrrp vrid 3
virtual-ip 123.132.249.138
255.255.255.248 active

service-manage telnet permit
anti-ddos flow-statistic enable
#
interface GigabitEthernet1/0/3
alias
电信
ip
address 192.168.2.1 255.255.255.0

vrrp vrid 2
virtual-ip 58.58.195.221
255.255.255.0 active

service-manage telnet permit
anti-ddos flow-statistic enable

3. 从防火墙ping域名解析时dns服务器地址202.102.152.3没有通


4.查看到dns服务器的会话发现没有回包,防火墙发出的报文ip地址是物理接口的私网地址,安全区域是local到untrust,没有经过nat转换
 

nat策略中没有localuntrust的策略

nat-policy

rule name dmz_nat_3

source-zone dmz

egress-interface GigabitEthernet1/0/3

action nat address-group
电信

rule name dmz_nat_7

source-zone dmz

egress-interface GigabitEthernet1/0/7

action nat address-group
联通

5. 添加配置local安全区域到untrust安全区域的nat策略


6. 从防火墙ping 域名测试已经通了,且会话显示nat转换成功








 



 



根因

当双机热备使用vrrp时,物理接口配置的是私网地址,vrrp虚地址为公网地址,没有配置local到untrust的nat策略

访问外网域名时,要经过nat转换,dns服务器才能识别源地址并返回解析值

 

解决方案

在local到untrust安全区域之间配置源nat,源安全区域local,目的安全区域untrust


建议与总结

当双机热备使用vrrp时,物理接口配置的是私网地址,vrrp虚地址为公网地址,访问外网域名时,要经过nat转换,dns服务器才能识别源地址并返回解析值

在local到untrust安全区域之间配置源nat,源安全区域local,目的安全区域untrust

END