分享远程处理SSLVPN端口映射不成功
  

糊糊 Lv5发表于 2019-4-12 16:15

【问题现象】
客户反馈新增的端口映射都不生效,只有以前建的192.168.17.211的映射无论哪个端口都生效。
【网络拓扑】
QQ图片20190412152253.png
SSLVPN的外网线路主要用于建立IPSECVPN和提供端口映射,防火墙的线路用于正常上网。
【处理过程】
SSLVPN版本7.5R1
查看网络配置
2.png
检查端口映射,配置没发现异常。根据客户描述,取17.14和17.211两台服务器来做对比观察。
1.jpg

怀疑三种可能导致:1.外网端口不通(被运营商封堵)2.VPN到服务器不通 3.防火墙本机规则
1.外网端口没有封堵
2.sock测试VPN到服务器端口是通的
3.png
3.防火墙规则无拦截

排查配置无果只能抓包观察:
首先测试访问不能映射成功的17.14服务器,根据我的外网IP去过滤数据包,然后进行telnet
4.png 5.png
可以看到外网口有收到数据包,内网口也有转发,但是没收到回包。

那为什么17.211服务器又能访问成功呢?
继续测试17.211服务器,还是根据源IP去过滤,然后telnet测试
wan:
6.png
lan:
7.png
这次看到外网口数据包有来有回,但是内网口一个包都过滤不到
数据包哪去了?



相信大家已经猜到了,我换了过滤规则,根据服务器IP去过滤:
8.png
原来源地址被转换成VPN的内网口地址了

SSLVPN7.5R1版本控制台界面上的端口映射配置是没有源IP转换的,客户应该是之前找过400改过(客户说他新来的不清楚。。。)
已经找出原因了,我也找400
400二线工程师2400响应了我的工单,感谢大佬
最终也验证了我的判断
9.jpg
解决方法:他给客户在后台添加源IP转换,放通防火墙规则等等。

我猜测访问17.13服务器的数据没有回包到VPN是因为三层交换机匹配默认路由把数据包交给防火墙了,大家觉得呢?

建议:好像SSLVPN好多版本端口映射都没有源IP转换配置,希望最好能像AF那样,改进一下。





喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

sangfor_2400 Lv3发表于 2019-4-12 16:58
  
谢谢分享,ssl vpn做snat时,出接口如果lan口,源ip无法是0.0.0.0,公网的访问端口映射的源ip无法确定,所有无法在界面配置snat
欧阳月半 Lv1发表于 2019-4-12 18:07
  
感谢大佬分享
好心情能长寿 Lv22发表于 2019-4-12 20:45
  
不错,详细
ie5000 Lv15发表于 2019-4-13 00:34
  
厉害,学习一下
鬼子姜 Lv7发表于 2019-4-13 13:13
  
感谢分享
feeling Lv28发表于 2019-4-13 21:31
  
感谢分享,不错
在你的全世界耍过 Lv6发表于 2019-4-15 11:42
  
内容学到了,大佬能不能把进后台密码分享下啊
nihongliang Lv7发表于 2019-4-16 02:03
  
sslvpn的底层跟AF防火墙不一样,sslvpn设备还是用的iptables做的,AF防火墙你可以进后台进去看看,已经不是iptables了。曾经碰到过一个项目,也是要做各种地址转换,sslvpn的nat部分还是比较薄弱的
会飞的癞蛤蟆 Lv12发表于 2019-4-16 15:19
  
厉害!!!!!!!