所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

防火墙l2tp LNS功能不支持通过Nat Server的GLOBAL地址去拨防火墙接口的应用场景

发布时间:  2019-07-22 浏览次数:  643 下载次数:  0

问题描述

组网:
Untrust trust
L2tp用户 -----------LAC -------------E300 LNS --------内网
E300做LNS端,l2tp用户拨号地址为防火墙内网接口通过Nat Server映射后的公网地址,l2tp隧道可以成功建立,但无法ping通VT接口
防火墙Nat Server配置:
nat server global 1.1.1.1 inside 10.86.1.38
10.86.1.38是防火墙内网接口地址,属于trust区域
L2tp用户拨号地址为1.1.1.1

告警信息

处理过程

1. 在防火墙与LAC间报文分析,看出报文异常。
2. 结合防火墙l2tp流程,分析出根本原因。

根因

防火墙l2tp LNS功能不支持通过Nat Server的GLOBAL地址去拨防火墙接口的应用场景。具体原因如下:
通过在防火墙与LAC间获取报文来分析问题:
发现客户端发送的ping报文经过l2tp封装后新的IP头中,目的IP为1.1.1.1(Nat Server的Global IP地址。

而防火墙回应的ping reply报文经过l2tp封装后,源IP地址为10.86.1.38(防火墙接口IP地址)

通过报文,很明显的看出问题:防火墙回应的l2tp数据报文没有经过Nat转换成1.1.1.1地址,导致无法pingVT接口。注: 防火墙对经过L2tp封装后的报文的处理,不走防火墙流程,不做Nat地址转换,直接发送出去。

建议与总结

给出防火墙做LNS端的两种应用场景:
1. 组网(增加一台EU1000,在EU1000上配置Nat Server功能)
L2tp用户 --------- LAC -----------EU1000 ---------- EU300 LNS
2. 组网(不配置Nat Server, l2tp用户直接拨EU300的接口地址)
L2tp用户 --------- LAC --------------- EU300 LNS

END