本帖最后由 萌大爷 于 2015-11-17 16:10 编辑
某公司VPN与某公司防火墙野蛮模式IPSEC VPN对接
单臂模式部署一定要注意前端防火墙的设置,路由/安全策略/NAT等,特别是NAT,最近两次排错都涉及到它。
一次是(mig--山石防火墙<---------->某公司AF),故障现象为两端成功建立vpn,日志没报错,但是ping不通对端。 前置防火墙源地址转换里,有一条用于代理内网上网的nat策略,源是内网网段,目的是所有流量,一些品牌例如山石跟某公司不同,没有区域选择,导致lan-lan流量也转换,也就是把内网数据包源地址先转换成wan口,再去访问mig,这样肯定是有问题的。 解决办法是目的流量里 把所有流量 改成 到达wan接口的流量。
另一次是这个案例里,(ssl vpn--锐捷防火墙<---------->某公司防火墙),故障现象为第一阶段协商失败,提示检查第一阶段高级设置。 根据对端设备日志显示,是前端防火墙源地址nat做错了,本来应该是nat成WANIP2出去的结果是按接口地址(WANIP1)nat出去了,目的地址映射是WANIP2转换成vpn设备内网口地址,对端设备IPSEC VPN第一阶段里也是设置为WANIP2。 解决办法是新建/修改源地址转换策略,地址转换为 对端设备里第一阶段里设置的对端地址(数据包出去的IP要匹配策略)。
两个附件,一个是两边设备的配置截图,一个是某公司防火墙IPSEC vpn的手册。
| 
发表于 2015-11-17 15:35
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2015-11-18 09:19
技术员3级 
