【问题现象】
客户反馈新增的端口映射都不生效,只有以前建的192.168.17.211的映射无论哪个端口都生效。 【网络拓扑】 SSLVPN的外网线路主要用于建立IPSECVPN和提供端口映射,防火墙的线路用于正常上网。 【处理过程】 SSLVPN版本7.5R1 查看网络配置 检查端口映射,配置没发现异常。根据客户描述,取17.14和17.211两台服务器来做对比观察。
怀疑三种可能导致:1.外网端口不通(被运营商封堵)2.VPN到服务器不通 3.防火墙本机规则 1.外网端口没有封堵 2.sock测试VPN到服务器端口是通的 3.防火墙规则无拦截
排查配置无果只能抓包观察: 首先测试访问不能映射成功的17.14服务器,根据我的外网IP去过滤数据包,然后进行telnet 可以看到外网口有收到数据包,内网口也有转发,但是没收到回包。
那为什么17.211服务器又能访问成功呢? 继续测试17.211服务器,还是根据源IP去过滤,然后telnet测试 wan:
lan: 这次看到外网口数据包有来有回,但是内网口一个包都过滤不到:惊呆: 数据包哪去了?:求解:
相信大家已经猜到了,我换了过滤规则,根据服务器IP去过滤: 原来源地址被转换成VPN的内网口地址了:啧啧啧:
SSLVPN7.5R1版本控制台界面上的端口映射配置是没有源IP转换的,客户应该是之前找过400改过(客户说他新来的不清楚。。。) 已经找出原因了,我也找400:高兴: 400二线工程师2400响应了我的工单,感谢大佬 最终也验证了我的判断 解决方法:他给客户在后台添加源IP转换,放通防火墙规则等等。
我猜测访问17.13服务器的数据没有回包到VPN是因为三层交换机匹配默认路由把数据包交给防火墙了,大家觉得呢?
建议:好像SSLVPN好多版本端口映射都没有源IP转换配置,希望最好能像AF那样,改进一下。
| 
发表于 2019-4-12 16:15
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
