【原创分享】ipsec vpn组网排错之路
  

哒哒哒 5756

{{ttag.title}}

>>【原创分享计划2】分享技术经验,赚上千元稿酬!

消失了小半年,本月回归,回归第三贴,没有什么拿的出手的,分享下最近一直在跟的一个VPN组网项目,基础配置忽略掉,只是分享排错思路,如有错误或者忽略掉的,请大佬们指正。


先上最终拓扑(保护隐私,地址都匿掉了)






NO1:求解:分支1和总部的服务器无法互访:求解:
【处理过程】
1、分支测试电脑192.168.70.1,总部测试server 172.16.20.7;

2、总部的AF上路由写错r,如下图,重新修改回包路由,目的地址是172网段,下一跳指向直连的核心交换机;


3、重新写了路由,AF到服务器依旧不通,检查下面两个交换机的配置,怀疑为内网路由哪里不通的问题,继续分析各个设备的路由表并且做测试;

4、在AF上看到有一个vlan子接口,子接口地址为172.16.20.X,下一跳为172.16.20.254,为AF的直连路由,这样分支过来的数据包,到达AF之后,直接匹配这个子接口的直连路由,但是此接口未接线导致找不到下一跳而丢弃。

5.删除此vlan接口路由即可,分支正常访问总部


【结论】
1、AF上回包路由的下一条写错
2、AF上启用了VLAN子接口,在设备上产生了直连路由,直连路由优先级最高,导致数据过来找不到下一跳而丢弃。
3、经过了解,此配置为之前配置未删除



NO2:求解: 分支1实现双网隔离:求解:

【客户需求】MIG下面两个网段,分别为192.168.68.0和10.10.68.0,其中192.168.68.0只能访问总部的业务网段,无需上网,10.10.68.0只能通过MIG上互联网,无需通过VPN访问总部的业务。

【配置过程】
分支1局部拓扑

配置步骤
1、分支MIG配置LAN(只允许访问VPN)和DMZ(只允许访问外网)接口地址

为什么使用DMZ作为LAN2?
MIG设备上的两个物理LAN口实际上互相为二层逻辑接口,两个lan口不能实现三层隔离,所以启用DMZ作为第二个lan口。

2、配置LAN口和DMZ口的DHCP,在选择接口那个地方切换一下即可到DMZ口的设置

3、配置默认路由

4、配置代理上网(只配置DMZ口也就是10.10.68.0)网段的代理上网。
5、配置某公司 VPN的连接管理
【测试效果】
VPN连接状态正常

Vpn用户(192段)正常访问总部的内网,无法访问互联网(未截图)
上网用户(10断)正常访问互联网,无法访问VPN(未截图)
至此,分支1功能都已实现



NO3:求解:分支2配置之后VPN数据不通:求解:


配置略(配置方法跟分支1一样,功能需求也一样)
【排错步骤】
1、首先再AF上抓包查看,分支2的数据还没有到总部的AF上,怀疑分支2本身有问题(忘记截图)
2、查看MIG上的配置,从配置上暂时没看出什么问题
3、思考。。。。。。懵逼。。。。。。放空。。。。。。
4、。。。。。。
5、继续。。。。。。
6、脑子突然清醒,这个分支貌似配置的时候VPN数据走的是DMZ口,需要修改两个地方
防火墙过滤规则(默认VPN-DMZ未放通)
VPN内网口(默认内网口是LAN口),改成DMZ口


这个时候再到总部防火墙上看下,通了(激动。。。。。。)




NO4:求解:两个分支互相访问:求解:
这个就比较简单了,直接两个分支的MIG设备写隧道间路由即可。分支1配置
分支2配置
至此,所有功能故障全部排除以及解决,在中间,还有其他一些小问题,比如地址冲突,比如内网路由指向不对等。

重点已经标红处理







打赏鼓励作者,期待更多好文!

打赏
1人已打赏

guhui 发表于 2024-9-1 09:52
  
感谢分享,学习一下~
guhui 发表于 2024-8-10 09:40
  
感谢分享,学习一下~
蟲爺 发表于 2022-8-8 20:46
  
感谢分享
ytfqyjj 发表于 2021-1-6 20:57
  
过程很详细,非常棒的分享!
新手081074 发表于 2020-4-8 10:50
  
感谢分享,学习了相关知识,强大自己
会飞的癞蛤蟆 发表于 2019-10-10 11:23
  
棒棒哒谢谢分享。
新手846532 发表于 2019-10-9 11:07
  
看完之后,深有感触,之前我也遇到过一次这种情况,最后是联系某公司专家解决了。看了这个文章,又涨了不少知识。
沧海 发表于 2019-8-28 23:49
  
学习一下
Sangfor_29822 发表于 2019-8-22 12:51
  
感谢楼主分享。文章写的很优秀,楼主对某公司 VPN组网的配置及排错理解的比较透彻,排错思路也比较清晰。某公司 VPN组网业务不通的问题一般先检查配置问题,再检查路由问题,一般来说把配置和路由梳理清楚问题就解决了。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

adds

本周建议达人

无极剑圣

本周分享达人

新手25642...

本周提问达人