#每日一记#部署一台VPN有多少坑？

    今日作业。

    一、1月7日

    周五。

    接到任务，需要上架VPN。

    拿到客户电话后，打电话给客户了解需求。

    需求：替换旧的VPN，把旧VPN配置放到新VPN上。

    新VPN的IP：192.168.5.150/255.255.255.0  192.168.1.1

    注：这里的掩码给错了，实际客户内网的掩码为255.255.0.0。（一坑）

    去之前做功能：设备应该单臂部署、发布资源、用户认证，很有把握。

   二、1月10日

   10点到达客户单位。

   上午了解旧设备的配置。

    2.1 旧VPN配置：

    2.1.1   单臂部署：LAN，192.168.1.150/16；DMZ，10.254.253.254/24。

    2.1.2   本地子网：172.168.0.0/24；10.254.253.0/24。   

    2.1.3   资源管理：很多

    2.1.4   路由：0.0.0.0/0 192.168.1.1

    2.1.5   用户组：

    2.1.6   IPSec VPN：状态正常。VPN接口、虚拟IP、用户、连接管理、基础设置、运行状态。

    2.2  新VPN配置：

    2.2.1  部署：LAN，192.168.5.150/16  192.168.5.1

    2.2.2  资源：OA

    2.2.3  用户组：与旧设备保持一致

    2.2.4  角色：关联用户、资源

    下午2点：

    2.3   在出口防火墙上配置地址映射。联系厂商技术调试的。

    网神：X.X.168.16的4430映射给192.168.5.150的4430，X.X.168.16的4433映射给192.168.5.150的443。

    2.4  验证测试

    从外网测试，接入VPN正常。但无法访问发布的资源。

    在内网测试，即笔记本接入到内网使用VPN上发布的OA资源的IP是可以访问到的，确认发布的OA资源没有问题。

    OA发布的IP：10.254.253.253

    注：看到这个IP，我想大多数的人会反应过来，这不是VPN的DMZ口的IP吗？如果这时能想到这一层，我们后面会少走不少弯路。

    以下是工程师与集成商销售的对话：

    工程师：我现在访问不到OA。

    销售：你看VPN到192.168.5.211是否能通？           注：如果你有职业敏感性，你一定会想这是啥地址。

    工程师：能通。我VPN到192.168.5.211能通，但到10.254.253.253不通。这个5.211是服务器地址，253.253是应用系统的地址吗？

    销售：对。你只要到253.253能通就行。

    注：这里有一个大坑，而且是工程师自己给自己挖的。（此处有坑）

    这里有几个点，只要注意到其中一个，就能避免踩坑。

    a.确认192.168.5.211是否是OA地址，可以直接在内网访问，也可以登录服务器确认。

    b.了解客户网络结构，确认发布的OA地址跟5.211有什么联系。

    c.查看VPN设备与OA服务器之间是否有拦截。

    d.职业敏感性。10.254.253.253作为发布的OA资源，这太不正常了。

    第一天实施结束，结果就是：发布的OA通过VPN访问不到。

      注：当天排查结果有反馈给公司，口头描述后。与公司同事一起确定了后续的排查思路。（此处有坑，描述漏掉5.211这个地址、OA地址是10.254网段这两个信息）

    确定第二天的排查思路：

    a.笔记本地址与VPN地址对调。笔记本接入网络，可以访问到10.254.253.253。我们将笔记本的地址配置到VPN上，看能否访问到10.254.253.253的OA地址，如果可以，那问题就解决了。

    b.排查网络问题。看VPN与服务器之间是否有拦截。

    c.搞清网络拓扑、老VPN配置，不知道的信息找客户确认。

    三、1月11日

    1、VPN与笔记本地址对调。

    依旧不行。

    2、排查发现。

    去往10.254.253.253的流量走向特殊，去往了DMZ口，而DMZ口没有接线。通过添加了一条10.254.253.253/32 192.168.1.1的静态路由实现 。

    但还是接入VPN访问不了OA。

    换L3VPN资源、客户端、TCP资源均不行。

    查防火墙，发现10.254.253.253是AF设备eth5口地址，跟VPN设备的DMZ口互联。

    这时，工程理由 发现OA是防火墙的地址，怀疑10.254.253.253不是OA地址，但还不清楚OA的地址是多少。

    晚上睡觉时，想起1月10号，客户说我们内网有个网段做了NAT，此时怀疑192.168.5.211是OA地址。

     这里有个疑问，我VPN到10.254.253.253都通了，为啥接入VPN却访问不到呢？

     画个图吧。

     

    总结：用户通过VPN的192.168.5.150与OA服务器10.254.253.253建立了请求会话，但OA服务器192.168.5.211在回包时，直接回给了192.168.5.150，而192.168.5.150做丢包处理。

    根因是数据来回的路径不一致导致。

  四、1月12日

  4.1  重新发布OA的IP

   直接发布192.168.5.211。业务访问正常。

  4.2  IPSec VPN对接

  这个真有点儿复杂。

  客户说对端也是深信服VPN，我们登录上去，才发现是防火墙。又是坑。

  先到这里吧。排错一小时，写文章要二个小时。

  我去看深信服在线课堂了。

  五、注意点

  1、AF开启51111端口

    物理接口，勾选“系统维护”。

   

   2、打补丁包

   下载acheck 4.0.3，运行后下载对应的补丁包，然后进行升级即可。

    以打SP_AF_S801_01为例。

    先下载对应补丁包到aCheck。

   

    启动补丁升级程序：

   

    通过任务列表可以查看升级成功：

   

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享，学习一下避免入坑！！！

感谢分享，有助于工作，学习了！！！

感谢楼主的精彩分享，有助工作!!!

感谢分享，打卡学习！

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

感谢楼主的精彩分享，有助工作!!!