【AD】部分公网IP地址不通问题排查

问题现象：

客户反馈部分SNAT地址池中地址无法通过ping访问，初步怀疑两个方面，1、公网地址本身存在问题；2、AD配置问题

排查步骤：

1、验证公网ip是否可代理上网，为不影响客户业务，协调pc机测试直接代理IP上网

内网PC:10.1.15.xx 配置源地址转化规则

源地址入口：所有链路或指定内网出口

目的地址：指定测试公网出口

目的IP：所有

转换规则：指定测试公网IP  210.42.xx.xx

其他保持默认即可

测试结果可正常代理上网，证明公网IP正常

Ping测试地址无法通信，检查目的地址规则，客户已有规则如下存在一条匹配规则

测试内网访问，无法通信

查看规则匹配测试为0条，与客户沟通暂时禁用该规则，新增测试规则如下

源地址：所有接口

目的地址：指定测试公网IP：210.42.xx.xx

协议条件：all

转换后地址：10.1xx.xx

配置完成后仍无法ping通,目的转换全端口映射，会导致实际ping测试直接ping内网地址，怀疑内网地址无法正常回包，则无法正常ping包。

修改端口映射

源端口：0 请求报文源端口无法指定，一般保持0

目的端口：即访问目的公网IP访问端口

转换目的IP：10.1.XX.XX 内网IP

转换后端口：即访问内网IP服务端口

测试可正常通信（注：该报文实际由公网IP直接回包）

测试直接映射ICMP端口到PC

无法正常ping通公网地址，pc抓包确认 未收到icmp请求包

AD侧抓包

测试如下，pc未回包

原因分析

部分公网地址无法ping通，ad配置问题导致，目的地址转换规则中，无法ping通地址均为全端口映射，ping功能的端口也映射，实际上ping不到WAN口上的地址，ping的目的是内网地址，会导致公网无法ping通。

解决方案：

建议增加目的地址转换规则，按实际端口需求映射，不建议全端口。
相关安全策略禁止公网访问内网80端口，ping功能不影响端口映射功能，无需关注。

感谢分享！现在有技术博文征集活动，点击帖子了解详情，后续发文可按要求带上#干货满满#标签赢取奖励哦https://bbs.sangfor.com.cn/forum ... read&tid=159563

打卡学习，感谢分享。

打卡学习，感谢分享。

打卡学习，感谢分享。

感谢楼主的精彩分享，有助工作!!!

坚持学习，坚持打卡。。。。。。。。。

打卡学习，感谢分享。

谢楼主的精彩分享，有助工作!!!

楼主分享的案例很实用，具有典型性