本帖最后由 新手703537 于 2023-2-13 23:00 编辑
背景介绍 客户三个工厂分别位于G市(总部)、Z市 (分支)、T市(分支),出口部署了防火墙进行安全防护,并且使用Sangfor vpn进行了组网,开启了SSL vpn用户远程接入办公。 其中组网需求为:分支和总部分别建立vpn,使三个工厂的内网可以互访;SSL用户拨入任一工厂的vpn后,可以访问任意工厂的内网资源。 问题现象 网络、路由、Sangfor vpn以及SSL vpn常规配置完成之后,三个工厂间内网互访已经测试正常,但是用户拨入分支vpn后,分之间互访不通。具体拓扑如下: 处理过程 首先贴一下相关配置,前期网络规划已经确保没有内网网段冲突的问题。 G市:vpn配置:webagent、分支接入账号 ssl虚拟ip池 添加本地子网:包括虚拟ip网段 添加L3VPN内网资源:各个分支的内网网段 T市:vpn配置:总部vpn对接信息 ssl虚拟ip池 添加L3VPN内网资源:总部和分支的内网网段 添加本地子网:包括虚拟ip网段 添加隧道间路由(防火墙版本8.0.35):源网段包括内网和虚拟ip网段,目的网段为分支内网网段。
Z市:vpn配置:总部vpn对接信息 ssl虚拟ip池 添加L3VPN内网资源:总部和分支的内网网段 添加本地子网:包括虚拟ip网段 添加隧道间路由(防火墙版本8.0.69):源网段包括内网和虚拟ip网段,目的网段为分支内网网段。
测试用户拨入分支的ssl vpn后,无法访问另一分支内网资源,首先是控制台做了一下抓包,发现拨入ssl后ping另一分支内网,ping包可以正常传到分支防火墙,但是防火墙没有回包;查看防火墙vpn路由,确实没有ssl用户网段的回包路由。 后面没有思路了,只能协调400排查一下。最终问题定位到了分支配置的隧道间路由上面,需要将对端分支对应的虚拟ip网段也加入到目的网段中,这样才能产生回包路由。修改的配置如下: T市 Z市 修改后,问题解决了,分支在所有情况下都可以进行互访。可以看到分支的路由表也已经正常有回包路由了: 问题总结
1、 对隧道间路由的理解不是很到位,即如果目的网段没有写虚拟ip网段,则无法产生对应的回包路由。 2、 个人认为新版防火墙隧道间路由更容易配置和理解一些。(以上 希望可以帮助遇到类似需求的工程师) | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2023-2-22 19:23
工程师2级 
