分享远程处理SSLVPN端口映射不成功
  

糊糊 10332

{{ttag.title}}
【问题现象】
客户反馈新增的端口映射都不生效,只有以前建的192.168.17.211的映射无论哪个端口都生效。
【网络拓扑】
QQ图片20190412152253.png
SSLVPN的外网线路主要用于建立IPSECVPN和提供端口映射,防火墙的线路用于正常上网。
【处理过程】
SSLVPN版本7.5R1
查看网络配置
2.png
检查端口映射,配置没发现异常。根据客户描述,取17.14和17.211两台服务器来做对比观察。
1.jpg

怀疑三种可能导致:1.外网端口不通(被运营商封堵)2.VPN到服务器不通 3.防火墙本机规则
1.外网端口没有封堵
2.sock测试VPN到服务器端口是通的
3.png
3.防火墙规则无拦截

排查配置无果只能抓包观察:
首先测试访问不能映射成功的17.14服务器,根据我的外网IP去过滤数据包,然后进行telnet
4.png 5.png
可以看到外网口有收到数据包,内网口也有转发,但是没收到回包。

那为什么17.211服务器又能访问成功呢?
继续测试17.211服务器,还是根据源IP去过滤,然后telnet测试
wan:
6.png
lan:
7.png
这次看到外网口数据包有来有回,但是内网口一个包都过滤不到:惊呆:
数据包哪去了?:求解:



相信大家已经猜到了,我换了过滤规则,根据服务器IP去过滤:
8.png
原来源地址被转换成VPN的内网口地址了:啧啧啧:

SSLVPN7.5R1版本控制台界面上的端口映射配置是没有源IP转换的,客户应该是之前找过400改过(客户说他新来的不清楚。。。)
已经找出原因了,我也找400:高兴:
400二线工程师2400响应了我的工单,感谢大佬
最终也验证了我的判断
9.jpg
解决方法:他给客户在后台添加源IP转换,放通防火墙规则等等。

我猜测访问17.13服务器的数据没有回包到VPN是因为三层交换机匹配默认路由把数据包交给防火墙了,大家觉得呢?

建议:好像SSLVPN好多版本端口映射都没有源IP转换配置,希望最好能像AF那样,改进一下。





打赏鼓励作者,期待更多好文!

打赏
12人已打赏

sangfor_2400 发表于 2019-4-12 16:58
  
谢谢分享,ssl vpn做snat时,出接口如果lan口,源ip无法是0.0.0.0,公网的访问端口映射的源ip无法确定,所有无法在界面配置snat
欧阳月半 发表于 2019-4-12 18:07
  
感谢大佬分享
好心情能长寿 发表于 2019-4-12 20:45
  
不错,详细
ie5000 发表于 2019-4-13 00:34
  
厉害,学习一下
鬼子姜 发表于 2019-4-13 13:13
  
感谢分享
feeling 发表于 2019-4-13 21:31
  
感谢分享,不错
在你的全世界耍过 发表于 2019-4-15 11:42
  
内容学到了,大佬能不能把进后台密码分享下啊:好棒:
nihongliang 发表于 2019-4-16 02:03
  
sslvpn的底层跟AF防火墙不一样,sslvpn设备还是用的iptables做的,AF防火墙你可以进后台进去看看,已经不是iptables了。曾经碰到过一个项目,也是要做各种地址转换,sslvpn的nat部分还是比较薄弱的
会飞的癞蛤蟆 发表于 2019-4-16 15:19
  
厉害!!!!!!!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

26
76
83

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人