【IT运维那些事儿】-真的是自摆乌龙

深夜1点的割接，一台sslvpn单臂，尴尬的处境

一、背景

客户之前ssl当网关，做ipsec和sslvpn, 用得挺好，现在换办公地点，设备换成单臂，只做sslvpn

来个拓扑：

二、问题

1.客户在某公司上有个openLDAP,需要做外部认证。导入本地之后，供测试的账号3个账号都提示用户名密码错误。试了好几次，都不对。

三、问题处理

①对接域是没有问题，也成功导入了所有组织结构和用户，到域之间得网络是没有问题得

②使用本地得用户登录，没有问题。设备服务没有问题

③客户说域上有用户过滤，尝试更改，也没有用，咨询400，说这个过滤用默认的就可以，

④那抓包看吧，用jira 的这个用户测试

我不知道自己的判断对不对，客户告诉我密码是5个d，包里看到这个有显示6个d。我测了一下，用6个d登录进去了。

⑤让客户再试下之前上不去的域用户，都能登录了。期间什么都没有操作。突然感觉这个只是之前真的是(gu)输(yi)错(de)了把。

2.客户不管通过什么网登录vpn，在线用户显示的接入ip都是防火墙的lan口地址

① 不用想了，肯定是做了地址转换导致的

② 客户就说没有做什么转换，和墙没有关系，我登上他们的墙（山石的），发现SNAT里有一天源区域any，源地址any------ 目的区域any 目的地址any 的所有流量，全部转换成出接口地址。（忘了截图）

③ 和客户说这么做是会匹配到外到内的转换，客户说不会的，最后只能强硬的说  试试把，，让重新写一条，如下

④ 改了之后，立马显示正常的

虽然是乌龙事件，但是处理过程还是值得借鉴！感谢分享

打卡打卡

打卡打卡

打卡打卡

打卡打卡

有时候一个小小的地方就影响整个设备的正常运营

打卡打卡

感谢楼主的分享:爱你::爱你:排查思路非常清晰~定位问题非常准确，也可以和大家某公司抓包的技巧:666::666:一起成长学习

感谢分享！学习了谢谢！