所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

防火墙IPSec VPN隧道无流量

发布时间:  2019-12-26  |   浏览次数:  169  |   下载次数:  0  |   作者:  p00466937  |   文档编号: EKB1100043112

目录

问题描述

设备型号:USG6680

软件版本:V500R001C60SPC500

故障现象:防火墙与远端站点IPSec VPN隧道建立成功,但Web页面显示隧道无业务流量。

组网拓扑:

f738e8dd8ae3408da4765ab76b8b1616

处理过程

1. 检查IPSec配置,确认两端的IPSec策略正确、认证方法和密钥一致。

2. 进行pingtracert测试,分段检查路由是否可达且按路径转发,发现业务区服务器到防火墙接口ping测试超时。

3. 检查安全策略与域间配置,确认防火墙已正确放行IPSec报文

4. 查看NAT策略,检查NAT策略是否干扰了IPSec VPN流量,远端防火墙上存在一条访问公网的NAT NAPT策略,匹配全局流量。

根因

1. 本地防火墙上设置的回程静态路由配置缺失,防火墙无法将数据包正确转发到业务区服务器网关。

2. 对端回程流量抵达防火墙时优先匹配了NAT策略,导致进行了源NAT转换后的流量没有进入IPSec隧道。

参考:防火墙包转发流程

73002363f8ac42fbb5b5383140972ffa

解决方案

1. 在防护墙添加回程静态路由,保证防火墙接口与业务区网关的路由可达。

2. 添加一条针对IPSec流量不进行NAT转换的NAT策略,策略中定义的地址范围仅包含IPSec流量,且该策略的优先级高于源NAT策略。因此,IPSec流量不会进行NAT转换,顺利进入隧道。同时保证了其他流量能够匹配NAT策略,正常访问外网。

#nat-policy

   rule name policy_nat1

   source-zone trust

   destionation-zone untrust

   source-address 172.16.xxx.0 24

   action no-nat