USG6320 SSL VPN用户通过IPsec 隧道无法访问远端服务器

发布时间:  2017-03-22 浏览次数:  910 下载次数:  0
问题描述
USG6320(V500R001C30SPC100) SSL VPN用户通过IPsec 隧道无法访问远端服务器
告警信息
处理过程
组网:



USG与router已建立IPsec VPN,同时USG做SSL VPN虚拟网关,PC拨号SSL VPN后,需求通过IPsec VPN隧道访问server2。

IPSec 待加密数据流为源10.67.84.0/24和目的10.67.2.0/24,,待加密数据流互ping可以通信,SSL VPN网段地址为172.168.99.0/24
由于router端待加密数据流无法增加,所以只能在USG侧基于SSL VPN网段做源NAT转换为GE1/0/0地址实现需求。其余基本设置正确!

SSL VPN拨号成功无法ping通server2,分析如下:

1.PC端有到sever2的路由

v-gateway sslvpn
 basic
  ssl version tlsv11 tlsv12
  ssl timeout 5
  ssl lifecycle 1440
  ssl ciphersuit custom aes256-sha des-cbc3-sha rc4-sha rc4-md5 aes128-sha des-cbc-sha
 service
  network-extension enable
  network-extension keep-alive enable
  network-extension keep-alive interval 120
  network-extension netpool 172.168.99.199 172.168.99.254 255.255.255.0
  network-extension mode manual
  network-extension manual-route 10.67.2.0 255.255.255.0
  network-extension manual-route 10.67.84.0 255.255.255.0


2.USG侧IKE SA和IPsec SA信息,隧道正常建立。

[Huawei]dis ike sa
 2017-03-18 01:06:01.730 +08:00
 
IKE SA information :
    Conn-ID    Peer                  VPN           Flag(s)               Phase 
   --------------------------------------------------------------------------------------
    49         18.X.X.2:4500                RD|ST|A               v1:2    
    48         18.X.X.2:4500                RD|ST|A               v1:1 
    
[Huawei]dis ipsec sa
 2017-03-18 01:06:19.760 +08:00
 
 ipsec sa information:
 
 ===============================
 Interface: GigabitEthernet0/0/6
 ===============================
 
   -----------------------------
   IPSec policy name: "ipsec1632236505"
   Sequence number  : 1
   Acl group        : 3000
   Acl rule         : 5
   Mode             : ISAKMP
   -----------------------------
     Connection ID     : 49
     Encapsulation mode: Tunnel
     Tunnel local      : 22.X.X.6
     Tunnel remote     : 18.X.X.2
     Flow source       : 10.67.84.0/255.255.255.0 0/0
     Flow destination  : 10.67.2.0/255.255.255.0 0/0
 
     [Outbound ESP SAs] 
       SPI: 2292644916 (0x88a6fc34)
       Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-MD5
       SA remaining key duration (kilobytes/sec): 19563/3343
       Max sent sequence-number: 6803
       UDP encapsulation used for NAT traversal: Y
       SA encrypted packets (number/bytes): 6802/447661
 
     [Inbound ESP SAs] 
       SPI: 348487069 (0x14c57d9d)
       Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-MD5
       SA remaining key duration (kilobytes/sec): 2213/3343
       Max received sequence-number: 12882
       UDP encapsulation used for NAT traversal: Y
       SA decrypted packets (number/bytes): 12882/18214583
       Anti-replay : Enable
       Anti-replay window size: 1024


3.PC SSL VPN拨号后信息,获取IP地址为172.168.99.199

 [Huawei]display  user-manage  online-user
 2017-03-18 01:22:53.380 +08:00
  Current Total Number: 1
 
  IP                                             User Name
 --------------------------------------------------------------------------------
  172.168.99.199                                  tjctce
 --------------------------------------------------------------------------------
 
 
 
[Huawei] v-gateway  sslvpn
[Huawei-sslvpn]basic 
[Huawei-sslvpn-basic]display  onlineuser 
 2017-03-18 01:23:18.900 +08:00
 
   Statistics Of Online Users:
   ------------------------------------------------------------------------------
   User-type  Online-users  Highest-online-users  Highest-online-users-recorded-at
   ------------------------------------------------------------------------------
   SSL VPN            1             1                 2017/03/18 01:23:06
   ------------------------------------------------------------------------------
 
   SSLVPN Online User Number 1 
   ------------------------------------------------------------------------------
   No.  User        Online Time      Upstream(MB)  Downstream(MB)  Authentication Mode
   ------------------------------------------------------------------------------
   0001 tjctce      2017/03/18 01:23:06  0.003        0.001        local         
   End-------

4.PC ping server2终端显示请求超时,USG上会话信息如下。可以看出数据包已经被IPsec封装,且有正常收发。
但PC显示ping不通,怀疑ICMP回包被USG丢弃。

[Huawei]display  firewall  session table verbose  destination inside 10.67.2.6
 2017-03-18 01:25:31.410 +08:00
  Current Total Sessions : 1

  icmp  VPN: public --> public  ID: a48f33f0e93f0b4b458cc8c01
  Zone: untrust --> untrust  TTL: 00:00:20  Left: 00:00:02
  Recv Interface: InLoopBack0
  Interface: GigabitEthernet0/0/6  NextHop: 22.X.X.65  MAC: 0000-0000-0000
  <--packets: 25 bytes: 1,500 --> packets: 25 bytes: 1,500
  172.168.99.199:1[10.67.84.21:2049] --> 10.67.2.6:2048 PolicyName: 上网接口

5.在USG侧配置流量统计,确认丢包原因,PC ping sever2 6个包统计结果。
[Huawei-diagnose]display  firewall statistic acl 
 2017-03-18 01:40:19.480 +08:00   
  Protocol(ICMP) SourceIp(172.168.99.199) DestinationIp(10.67.2.6)   
  SourcePort(1) DestinationPort(2048) VpnIndex(public)   
                  RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag   
  Obverse(pkts) : 6           0           6           0           0             
  Reverse(pkts) : 6           0           0           6           0          
    
  Discard detail information:
   Ipsec succcheck failed packets discarded:     6
    
  ICMP packet detail information:
   ICMP_ECHO                     :     6
   ICMP_ECHOREPLY                :     6
根因

流量统计显示丢包原因为:Ipsec succcheck failed packets discarded,即IPSEC后反查失败丢包。


解决方案
关闭IPsec后反查功能解决:undo ipsec  decrypt  check 
NGFW V5版本默认开启IPsec后反查功能。

IPSec后反查功能开启后,对接口接收到的解密之后的明文报文进行检查,如果报文不应该被加密而实际上却被加密,
则丢弃该报文。比如IPSec选择安全协议对数据的封装模式为隧道模式时,SA入方向的IPSec报文在解封装之后有可能内部IP头
(如网络中恶意构造的攻击报文头)不在当前安全策略配置的ACL保护范围内。配置IPSec后反查后,设备重新检查报文IP头
是否在ACL保护范围内,若能与ACL的permit规则匹配上则采取后续处理,否则丢弃,提高了网络安全性。
建议与总结

针对VPN业务故障,一般需结合会话和流量统计定位。

END