版块 安全类 零信任aTrust #每日一记#VPN故障排查
何茂源 发表于 2022-1-25 10:31
  
感谢分享,有助于工作,学习学习。
卢美美 发表于 2022-2-8 10:32
  
学习了!感谢分享!@!!!
#每日一记#VPN故障排查
  

adds 2021-10-8 22:2260141人觉得有帮助

{{ttag.title}}
本帖最后由 adds 于 2021-10-8 22:22 编辑

    一、VPN故障排查
    (一)问题
      客户原来两个机房均在大兴亦庄大族企业湾的同一栋楼,一个二层,一个五层,两个楼层都部署了VPN,起了Sangfor VPN。用户不管接入二层的VPN的还是接入五层的VPN,都可以实现互访。
     2021年9月25日,将五层的机房迁移到了通州科创九街的一个机房,然后,怪事出现了。
     接入大兴的VPN,可以访问大兴的服务器和通州的服务器,但接入通州的VPN,可以访问通州的服务器和大兴的安全设备,但服务器访问不到。

    (二)现象验证
      1、接入通州VPN
      亦庄的安全设备192.168.100.2、192.168.100.3、192.168.100.4可以访问,但服务器192.168.201.101、192.168.201.106不可以访问。通州本地没有问题。
      

    2、接入亦庄VPN
    访问亦庄的服务器192.168.100.101和安全设备192.168.100.4没有问题,访问通州本地服务器也没有问题。
   


     (三)排查
       1、通州VPN配置
       虚拟IP地址确认:
      

       部署模式确认:
      

      资源服务模式:
     

     资源管理:
     

    本地子网:
   


        2、亦庄VPN配置
       虚拟IP地址确认:
      

      资源服务模式:
      

     资源管理:
     

    部署模式:
   

    本地子网:
   

    3、亦庄服务器配置:
    服务器路由:
   

    4、通州服务器配置:
   

    5、亦庄安全设备路由
    192.168.100.1是通州VPN的地址。
   

     对比两端设备,发现通州的VPN资源模式为使用设备的IP地址,而亦庄的是使用虚拟IP地址作为源地址;
     对比亦庄的服务器和安全设备:安全设备的网关直接指给了VPN,而服务器是通过指静态路由的方式实现 。

    综合分析:判断亦庄的服务器有收到2.0.1.0/24的包,但服务器没有回;资源模式问题。这两个可能性都有,但都不大,因为机房迁移之前都正常。


    6、修改配置
    a.更改通州VPN的资源模式:
   

    然后测试:
    访问OK。
   

    为什么没有验证亦庄服务器回包问题?因为还需要到服务器抓包,想着先改下这个配置试下,简单些,如果不行再修改。故障解决后,也不用去验证是不是服务器的问题了。





     


    二、Linux挂载目录
    需求:需要将挂载到/home目录下的磁盘挂载到/data目录下。
mkdir data
umount  /dev/mapper/centos-home /home
mount /dev/mapper/centos-home /data
    在使用mount命令挂载后,重启会丢失,需要修改/etc/fstab文件。
   



    三、吐嘈不靠谱的销售
    你怎样,你的世界就是怎样。
    这怎么可能呢?忽悠鬼呢,鬼都不信。

    越长大,对这个世界的信任感越低,不是悲观,是经历太多事、遇到太多的人,一个个真实切肤的事实血淋淋的摆在眼前。

    借出2年半的设备终于看着头可以回来了,都答应给我邮寄了,结果又给另外一个用户用了,
   

    如果搁5年前。。。

    然后,我默默认的喝了口可乐,然后我找了他领导,就是20年6月联系他处理这个事情的人,然并卵,仅仅说10月份还我,我信你个鬼啊,去年就这么说。

    有些人,欠钱不还,还振振有词,好像债主不应该一直催他,欠钱有理,这世界有病吧?有些人,拖着设备不还,每次打电话都是近快,近期,然后是下周,下午,你的粮心不会痛的吗?你的世界是屎做的吧?


   

    不还我设备,给我钱。你无视我就找你领导,你再无视我接着找,总会有人给我解决问题的。不解决,那好,我不管了,能力有限,公司找其他人上吧。

    我不仅要吐嘈你,还要诅咒你,谁让我心眼小呢,当然我不会在吐嘈里透传关于你的个人信息,免得我被有关部门请去喝茶。


    四、漏洞扫描
    1、TSS的地址不允许ping。可以通过测试探测443端口是否正常。

    五、注意
    1、远离一切能让你沉迷的东西,学习除外。所有自制力差的人共勉!

    2、kali虚拟机。
    从官网下载下来的Linux虚拟机,默认登录账号和密码是:kali/kali。
   

    登录后需要修改root密码。
    初始root密码是缺省的,需要自己设置一个密码才可以。
    sudo passwd root
     

    3、TSS的显示器界面的ping不好用。
    有时会报错。
     

    可以使用WEB控制台的ping。不支持自己ping自己。
   

    4、kali系统sshd服务开启
    编辑配置文件:vi /etc/ssh/ssh_config
   将25行的注释符去掉:PasswordAuthentication
     

     开启ssh服务:/etc/init.d/ssh start
     

    查看服务:ps -aux | grep ssh
   

    终端测试连接:
   

   添加到开机启动项:
    update-rc.d ssh enable


    5、vulnerable   adj.易受攻击的,脆弱的。
          wildcard     n.通配符

    6、河北移动宽带
    装完宽带
    测速:
   


    使用speedtest.cn测试:
   

   光猫不能当路由器使用,套路。

打赏鼓励作者,期待更多好文!

打赏
20人已打赏
123

发表新帖
作者其他文章
CVE-2025-3248漏洞验证 如何搭建漏洞环境 如何治疗deepseek本地版正经的胡说八道
热门标签
全部标签>
每日一问
新版本体验
功能体验
产品连连看
标准化排查
安装部署配置
纪元平台
高手请过招
安全效果
GIF动图学习
【 社区to talk】
解决方案
安全攻防
升级
用户认证
秒懂零信任
社区新周刊
信服课堂视频
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
排障笔记本
产品预警公告
玩转零信任
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
2023技术争霸赛专题
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
平台使用
技术盲盒
山东区技术晨报
文档捉虫
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
西北区每日一问
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力
专家说
热门活动
产品动态
行业实践
产品解析
关键解决方案
转盘
任务
商城
勋章
成长计划

本版热帖

本版达人