ssl vpn网络扩展访问总部资源命中ipsec加密流量导致丢包

发布时间:  2017-03-21 浏览次数:  235 下载次数:  0
问题描述

  用户反馈USG6600 V1版本配置ssl vpn网络扩展可以正常登陆和获取ip但是无法访问总部资源也ping不通。网络扩展获取的ip是172.26.135.0/24网段,总部资源是10.200.152.0/24网段。


告警信息

  启动网络扩展后ping总部的资源不通,防火墙上查看ping的会话为空:



处理过程

1.由于ping时防火墙上没有会话,查看防火墙的安全策略全部放行,没有问题。

 security-policy

 default action permit


2.在防火墙上做流量统计,发现被ipsec前反查丢包:


3.检查发现内网到网络扩展网段的数据流会匹配上ipsec加密数据流:

acl number 3000

 rule 5 permit ip source 10.200.152.0 0.0.0.255 destination 172.26.128.0 0.0.7.255 

 rule 10 permit ip source 10.200.131.0 0.0.0.255 destination 172.26.128.0 0.0.7.255 


 IPSec前反查功能描述:系统对接口接收到的明文报文进行检查,如果报文应该被加密而实际上却没有被加密,则丢弃该报文。缺省情况下,系统开启了IPSec前反查功能。

根因

   内网到SSL VPN网络扩展地址池数据会匹配上ipsec的加密流,导致被ipsec前反查丢弃。

解决方案

   1.将ssl vpn网络扩展的地址池修改成192.168.0.0/24后问题解决。

   2.网络扩展地址无法更改的情况下,关闭IPsec的前反查功能。

  

建议与总结

 ssl  vpn网络扩展的地址池建议配置成内网不使用的地址段。

END