USG6650配置IPSEC和NAT Server后,发现总部服务器无法访问分部网段

发布时间:  2016-12-09 浏览次数:  82 下载次数:  0
问题描述

版本信息:USG6500 V100R001C30SPC600





组网概述:

总部和分部的USG6650之间配置IPsec VPN,实现分部用户安全访问总部的HTTP server。而且总部有一台服务器需要提供给公网用户访问,于是在总部防火墙上配置了如下的NAT Server,

组网拓扑图:


故障现象:

分部的员工可以访问总部服务器的私网地址192.168.1.2,总部192.168.1.0/24网段的员工也能正常和分部的10.0.0.0/24网段通信,但总部的服务器却无法访问分部10.0.0.0/24网段的资源,删除NAT Server配置后就能正常访问。





告警信息




处理过程

1、查看总部USG6650上的NAT Server配置情况,确认配置无误。

 nat server protocol tcp global 1.1.1.1 9980 inside 192.168.1.2 80

2、查看总部USG6650和分部的IPsec VPN 配置情况,确认配置无误

acl number 3000      //*定义需要进行IPSec封装的数据流*//                             
  rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.0.0.255              
#                                                                            
ipsec policy map1 10 manual                                                      
 security acl 3000    //*引用acl,只有符合acl3000的数据流才会被送入IPSec隧道封装*//        
 proposal tran1                                                                
 …                   
因为总部192.168.1.0/24网段员工需要访问公网,所以还配置了如下的源NAT策略:

rule name QH       // 针对ACL192.168.1.0去往10.0.0.0的数据流不进行NAT转换
  source-zone trust
  destination-zone untrust
  source-address address-set 192.168.1.0 mask 24 
  destination-address address-set 10.0.0.0 mask 24  
  action no-nat
                                                                       

rule name 用户上网
  source-zone trust
  destination-zone untrust1
  source-address address-set B座终端地址
  action nat easy-ip

3、总部Server ping分部PC时,总部的防火墙上可以看到这样一条会话:
<FW> display firewall session table source inside 192.168.1.2                           
  icmp  VPN:public --> public 192.168.1.2:512[1.1.1.1:512]-->10.0.0.2:2048              
可以看出,防火墙将报文的源地址由192.168.1.2转变成了1.1.1.1

根因

防火墙的报文处理流程中,反向Server-map表项是比源NAT策略优先匹配的,报文匹配到反向Server-map表项后,源地址被转换为1.1.1.1。这样,报文就不再匹配源NAT策略了 

解决方案

在总部的USG6650配置NAT Server时加上no-reverse参数,不生成反向Server-map表项就可以了



建议与总结

指定no-reverse参数后,设备生成的Server-map表只有正方向,内部服务器主动访问外部网络时,设备无法将内部服务器的私网地址转换成公网地址,内部服务器也就无法主动向外发起连接。



END