【破障之光】AF开启VPN服务后就断网？

前言

酷暑难耐，防火墙新版本的推广就像武汉的夏天一样，火热到了无语伦比的地步，茫茫多的防火墙升级、新版本交付，在某客户的安全资源池项目交付过程中，客户反馈需要用安全资源池组件做ipsec对接，对接过程中遇到一个很奇怪的问题，这个问题有多奇怪呢？让我们来细细道来~

一、问题描述

安全资源池4.0.18版本，ssl替换成立了atrust，无法使用ssl做ipsec对接，要做ipsec对接只能创建防火墙组件旁路部署用于ipsec对接，方案规划都没问题，但是部署过程中发现防火墙本身是可以访问外网的，但是当我在防火墙ipsec模块开启vpn服务的时候，隧道连接一直报错，查看日志发现连接失败，查看防火墙，发现防火墙本身无法上网了，网断了！！！

二、告警信息

记录了设备的VPN报错的日志，同时记录了命令控制台访问外网的情况

日志提示无可用线路

      

防火墙命令控制台，能ping通网关无法ping通外网

      

三、处理过程

确认现象后按照基本排查思路

1.先检查关闭vpn服务后是否正常

关闭vpn服务后，防火墙正常访问外网

      

      2.确认vpn是否配置外网线路

      

     3.开启vpn服务进行抓包，查看数据包的的走向

      

抓包就发现一个很奇怪的问题，怎么会有arp包，找不到网关还是没路由？然后点开接口看，发现接口上没配置网关地址，加上测试，加上后vpn隧道建立正常，但是造成这个的原因是什么呢？陷入思路瓶颈，于是上support去查询相关的帖子，看到一个相似问题vpn会生成0.0.0.0的默认路由导致防火墙断网，会不会就是这个原因，想到就去确认，协调了400大佬求助确认，400大佬果然博学多才，听到问题描述一下指出问题症结，也验证了我的猜想，本机不能访问外网的原因是接口没有默认网关，从而导致设备匹配了vpn路由。

      

四、根因

安全资源池创建防火墙组件时，默认创建的接口没有配置默认网关，去对接ipsec的时候，外网的接口没有默认网关，会导致设备匹配了vpn路由，导致设备断网

五、解决方案

配置防火墙时，不管部署模式，创建WAN接口时要记得配置默认网关

六、建议与总结

虽然这个问题纯属于灯下黑，但是在做项目交付过程中，非产品相关因素的问题出现也会影响客户对产品的体验，所以我们在日常工作中还是要多多积累，强化和完善自己，然后多多分享~

最后感谢所有深信服客服400的幸苦付出~