USG6300内网用户无法通过公网地址访问内部服务器

发布时间:  2016-11-04 浏览次数:  291 下载次数:  0
问题描述
USG6300内网用户无法通过公网地址访问内部服务器,外网用户通过映射后的地址能访问内部服务器
组网:

告警信息

处理过程
设备对应域间安全策略放行,配置了域内NAT转换成GE1/0/2接口IP,针对访问目的地址的流量不做策略路由,优先级最高。
policy-based-route
 rule name huawei
  source-zone trust
  destination-address 192.168.1.5 mask 255.255.255.255
  action no-pbr

 rule name pbr
  source-zone trust
  source-address address-set "L2TP LAN"
  source-address address-set CDLAN
  action pbr



实际访问不成功,查看会话是数据收发正常,但是安全区域不正确。


<USG6300>display firewall session table verbose
 21:51:11  2016/11/02
 Current Total Sessions : 1
  ICMP  VPN:public --> public  ID: a48f3fda0fac86d40581cf9f0
   Zone: untrust--> trust  TTL: 00:00:20  Left: 00:00:16 
   Output-interface: GigabitEthernet1/0/2  NextHop: 172.168.1.10  MAC: 70-7b-e8-74-88-57
    <--packets:4 bytes:240  -->packets:4 bytes:240
   192.168.1.132:1[172.168.1.254:2048]-->1.1.1.1:2048[192.168.1.5:2048] PolicyName: huawei

根因

正确的流量走向应是在trust域完成,服务器回包时匹配了策略路由,且策略路由是优先于会话匹配,导致回包数据被策略到公网接口。

解决方案

内网服务器配置了基于源的策略路由,导致数据回包时转发出错,在trust域对于访问192.168.1.0/24不做策略路由解决
policy-based-route
 rule name huawei
  source-zone trust
  destination-address 192.168.1.5 mask 255.255.255.255
  destination-address 192.168.1.0 mask 255.255.255.0
  action no-pbr
建议与总结
特性:策略路由优先于会话匹配。结合会话排查,定位问题。

END