'>

【AD】内网电脑通过公网地址访问内网服务器失败

|

问题描述

某客户网络拓扑如下图所示:需要192.200.122.180能够通过公网地址10.2.3.253访问内网的10.2.7.253的远程桌面,配置了双向地址转换,却发现没有生效(内网PC访问不到server的远程桌面)。直接用10.2.7.253私网地址访问是可以访问的,外网电脑直接用公网地址10.2.3.253也能访问。

113285b7d5d6918698.png


注:问题现象描述尽量通俗易懂,建议贴上现象的截图,更加直观!
为安全起见,帖子中涉及的截图,绝不能包含webagent地址、公网IP、客户单位名称、联系方式(电话号码/QQ号等)、详细完整的拓扑图等隐私内容,请自觉打码处理!

告警信息

端口测试不通,如图:
747465b7d522b8588b.png

注:告警日志图文并茂,没有则直接留空即可。

处理过程

注:详细的处理过程,文字+截图,做到有条理性书写即可,多余无关的步骤可以省略。

1.公网电脑可以通过公网地址访问,则说明AD可与server的端口通信,测试结果也是通的。检查端口映射配置发现配置正确,“发布服务器”也勾选了。
919395b7d52c2548df.png
558175b7d527709a61.png

2.内网PC测试发现不通,怀疑数据可能没到AD来,于是在AD看下转换记录是否存在,发现已经转换,如下:
886395b7d53886a178.png
发现NAT转换已有实时记录,看转换记录的时发现问题:内网PC转换后的地址还是自己的地址。这种情况下服务器给PC回包,会先走网关,匹配自己的网关是核心交换机,核心交换机看到目的IP是PC,匹配直连路由直接转发给PC,导致数据包来回路径不一致,导致AD没有收到服务器的回包。
470425b7d55fa9fa9f.png
说明:用此方法看NAT转换记录,可以说明数据已经到达AD,且AD也已经转换了数据的源目IP和端口。

3.检查针对PC做的源地址转换配置,发现目的IP转换条件写的IP是公网的IP,发现配置错误的原因使这条源地址转换没有匹配上,导致没有生效。而正确的应该写内网IP:10.2.7.253 (因为数据处理流程上端口映射在前,源地址转换在后,所以源地址流程看到的目的地址已经是内网服务器的真实地址)。
91175b7e136241d2c.png

4.修改目的IP转换条件为10.2.7.253后,再次访问可以访问到远程桌面了,控制台看nat转换记录,发现内网PC的IP被转换成AD接口IP,配置已经生效,如图:
280425b7d588b91b06.png

根因

注:结合网络基础原理,描述清楚即可,不可存在原理上错误!

端口映射和源地址转换在数据处理流程上存在先后顺序,端口映射对应iptables的PREROUTING链,源地址转换对应POSTROUTING链,故端口映射规则在前处理,源地址转换在后处理,对于该案例库场景,源地址转换的目的地址需要写内网服务器的真实地址,是因为已经先经过端口映射规则转换了。

解决方案

修改源地址转换中的目的IP转换条件为内网的服务器的IP。
909615b7e13b7e387a.png


注:解决方法需真实可靠,保证按部就班可解决问题,存在多种解决方法,建议并列分类书写。

建议与总结

注:该模块是触类旁通效果,由一个问题联想到一类问题,但要保证正确性。

1. WebConsole session命令查看nat转换记录说明
session L0 nat44 tcp dstaddr 10.2.3.253
1)L0:表示看端口映射的nat表。如果需要看虚拟服务,四层虚拟服务用L4,七层虚拟服务用L7。
2)nat44:表示是IPV4转成IPV4。另外的格式有nat46:表示查看ipv4转ipv6的nat记录,同理有nat64或者nat66。
3)tcp:查看转换的协议,同理有icmp、udp、icmpv6或者other。
4)dstaddr:目的地址是10.2.3.253。如果需要根据源IP过滤,则可用srcaddr。如果需要同时根据源IP和目的IP过滤,则可用 srcaddr 192.200.122.180 dstaddr 10.2.3.253。

2. session命令查看到的nat转换记录是实时的,如果连接跟踪消失,这条命令会看不到之前的转换记录。如果需要看历史转换记录,建议搭建NAT日志服务器。
Sangfor_闪电回_小悦 Lv13发表于 2018-9-5 11:19
  
堪称故障案例帖标准范例,格式太强了
sangfor_1076 Lv4发表于 2018-8-24 09:54
  
强!!!  
sangfor_2134 Lv4发表于 2018-8-24 09:57
  
太赞了!
玖零网络 Lv14发表于 2018-10-22 10:07
  
上网学习了
凝網_蟲爺 Lv15发表于 2018-10-24 11:22
  
强强强!
法律框架 Lv8发表于 2018-10-26 08:55
  
学习了,值得
Yxhong Lv3发表于 2019-2-12 14:44
  
感谢分享
会飞的癞蛤蟆 Lv13发表于 2019-5-15 12:41
  
不光深信服的设备是这样,别的厂家的也都是这样。比如启明的。但是山石的防火墙貌似和思科的有点像。。

我要写案例
文档编号: 52540
作者: sangfor_1120
更新时间: 2018-09-06 17:24
适用版本: