本帖最后由 adds 于 2022-1-27 10:32 编辑
今日作业。
一、1月7日 周五。 接到任务,需要上架VPN。 拿到客户电话后,打电话给客户了解需求。 需求:替换旧的VPN,把旧VPN配置放到新VPN上。 新VPN的IP:192.168.5.150/255.255.255.0 192.168.1.1 注:这里的掩码给错了,实际客户内网的掩码为255.255.0.0。(一坑)
去之前做功能:设备应该单臂部署、发布资源、用户认证,很有把握。
二、1月10日 10点到达客户单位。 上午了解旧设备的配置。 2.1 旧VPN配置: 2.1.1 单臂部署:LAN,192.168.1.150/16;DMZ,10.254.253.254/24。 2.1.2 本地子网:172.168.0.0/24;10.254.253.0/24。 2.1.3 资源管理:很多 2.1.4 路由:0.0.0.0/0 192.168.1.1 2.1.5 用户组: 2.1.6 IPSec VPN:状态正常。VPN接口、虚拟IP、用户、连接管理、基础设置、运行状态。
2.2 新VPN配置: 2.2.1 部署:LAN,192.168.5.150/16 192.168.5.1 2.2.2 资源:OA 2.2.3 用户组:与旧设备保持一致 2.2.4 角色:关联用户、资源
下午2点: 2.3 在出口防火墙上配置地址映射。联系厂商技术调试的。 网神:X.X.168.16的4430映射给192.168.5.150的4430,X.X.168.16的4433映射给192.168.5.150的443。
2.4 验证测试 从外网测试,接入VPN正常。但无法访问发布的资源。
在内网测试,即笔记本接入到内网使用VPN上发布的OA资源的IP是可以访问到的,确认发布的OA资源没有问题。
OA发布的IP:10.254.253.253
注:看到这个IP,我想大多数的人会反应过来,这不是VPN的DMZ口的IP吗?如果这时能想到这一层,我们后面会少走不少弯路。
以下是工程师与集成商销售的对话: 工程师:我现在访问不到OA。 销售:你看VPN到192.168.5.211是否能通? 注:如果你有职业敏感性,你一定会想这是啥地址。 工程师:能通。我VPN到192.168.5.211能通,但到10.254.253.253不通。这个5.211是服务器地址,253.253是应用系统的地址吗? 销售:对。你只要到253.253能通就行。
注:这里有一个大坑,而且是工程师自己给自己挖的。(此处有坑) 这里有几个点,只要注意到其中一个,就能避免踩坑。 a.确认192.168.5.211是否是OA地址,可以直接在内网访问,也可以登录服务器确认。 b.了解客户网络结构,确认发布的OA地址跟5.211有什么联系。 c.查看VPN设备与OA服务器之间是否有拦截。 d.职业敏感性。10.254.253.253作为发布的OA资源,这太不正常了。
第一天实施结束,结果就是:发布的OA通过VPN访问不到。
注:当天排查结果有反馈给公司,口头描述后。与公司同事一起确定了后续的排查思路。(此处有坑,描述漏掉5.211这个地址、OA地址是10.254网段这两个信息)
确定第二天的排查思路: a.笔记本地址与VPN地址对调。笔记本接入网络,可以访问到10.254.253.253。我们将笔记本的地址配置到VPN上,看能否访问到10.254.253.253的OA地址,如果可以,那问题就解决了。 b.排查网络问题。看VPN与服务器之间是否有拦截。 c.搞清网络拓扑、老VPN配置,不知道的信息找客户确认。
三、1月11日 1、VPN与笔记本地址对调。 依旧不行。
2、排查发现。 去往10.254.253.253的流量走向特殊,去往了DMZ口,而DMZ口没有接线。通过添加了一条10.254.253.253/32 192.168.1.1的静态路由实现 。
但还是接入VPN访问不了OA。
换L3VPN资源、客户端、TCP资源均不行。
查防火墙,发现10.254.253.253是AF设备eth5口地址,跟VPN设备的DMZ口互联。 这时,工程理由 发现OA是防火墙的地址,怀疑10.254.253.253不是OA地址,但还不清楚OA的地址是多少。
晚上睡觉时,想起1月10号,客户说我们内网有个网段做了NAT,此时怀疑192.168.5.211是OA地址。
这里有个疑问,我VPN到10.254.253.253都通了,为啥接入VPN却访问不到呢? 画个图吧。
总结:用户通过VPN的192.168.5.150与OA服务器10.254.253.253建立了请求会话,但OA服务器192.168.5.211在回包时,直接回给了192.168.5.150,而192.168.5.150做丢包处理。 根因是数据来回的路径不一致导致。
四、1月12日 4.1 重新发布OA的IP 直接发布192.168.5.211。业务访问正常。
4.2 IPSec VPN对接 这个真有点儿复杂。 客户说对端也是深信服VPN,我们登录上去,才发现是防火墙。又是坑。
先到这里吧。排错一小时,写文章要二个小时。 我去看深信服在线课堂了。
五、注意点 1、AF开启51111端口 物理接口,勾选“系统维护”。
2、打补丁包 下载acheck 4.0.3,运行后下载对应的补丁包,然后进行升级即可。 以打SP_AF_S801_01为例。 先下载对应补丁包到aCheck。
启动补丁升级程序:
通过任务列表可以查看升级成功: |