解决VPN网络只能单向通信的问题经历!!!
  

深粉 14898

{{ttag.title}}
本帖最后由 熊较瘦 于 2016-8-5 18:51 编辑

        这几天一直被一个问题困扰着:客户的网络环境是总部和分支机构的VPN网络架构,VPN隧道已经建立起连接,但是在分支机构ping总部的网络是没有问题的,在总部ping分支机构的网络却是不通的,真是百思不得解!!!
新建 Microsoft Visio 绘图.png


现象:

1、在分支ping 192.168.10.0/24网段,可以通信!

2、在总部ping 192.168.17.1、17.254,可以通信!

               ping 192.168.17.0/24其他网段的地址都无法通信!


        通过分析后,我在分支机构内网电脑上添加一条静态路由:route add 192.168.10.0 mask 255.255.255.0 192.168.17.254  
可以解决问题!
因此断定问题出在出口防火墙上,应该是防火墙上写的回包路由没有生效。

clipboard_副本.png


    于是我联系锐捷的厂家400电话请求技术支持,从前期分析到后期抓包,得出的结论是:在总部访问分支机构时,来的路由先到分支机构VPN设备,然后直接到内网电脑,回去的路由却要先到防火墙,然后再根据回包路由跳转到VPN设备,可是这样的话,他们的防火墙是不会建立一个叫做“数据流表”的东西,然后直接把数据包丢弃,因此造成网络不通(挺奇葩的方式,也没sei了)。

给的两点建议:
一、在分支机构电脑上像上面那样手动写静态路由:这个自然是行不通的,分支那么多电脑;
二、在分支VPN设备上做一个源地址转换:也就是将从总部过来的IP地址转换为分支VPN设备的IP;
于是联系VPN的厂商协助配置源地址转换,至此,问题解决!

源地址转换—新乡.jpg


最后感谢两个厂家(锐捷和某公司)的技术人员配合!!!

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

master 发表于 2016-8-8 11:11
  
建议把SSL放到一个单独的网段。不要和客户一起放在一个二层网络里面。
NAT是临时解决方案,不利于审计及安全策略配置。
陈智强 发表于 2016-8-8 11:23
  
本帖最后由 陈智强 于 2016-8-8 11:26 编辑

我记得在我们的防火墙设备里好像是叫异常包检测
Sangfor_闪电回_小云 发表于 2016-8-9 09:17
  
也非常感谢楼主的分享
XiaoYang 发表于 2016-8-20 12:54
  
为什么回报路由没生效
小伙,不错 发表于 2016-8-23 08:20
  
这个就是来回路径不一致的问题,如果你交换机支持三层的话,可以在三层上添加路由;
或者像楼主说的,在分支的VPN设备上添加源地址转换,针对总部访问分支的数据流,都转换成成分支vpn设备的lan口地址
晓风残月粤 发表于 2016-9-5 09:45
  
果断收藏学习!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
标准化排查
秒懂零信任
自助服务平台操作指引
新版本体验
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

26
76
83

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人