OTP服务器迁移到云平台后SSLVPN动态令牌认证失败的奇葩问题

问题描述：

SSL使用动态令牌认证，OPT服务器迁移到云平台上之后，认证不通过。

告警信息：

用户认证提示操作失败，可能服务器太忙，如下图所示：

处理过程

1、排查SSLVPN的Radius认证设置的服务器地址是否更改正确，检查后发现正常；

2、排查路由到达OTP服务器是否可达，检查后发现正常；

3、测试OTP服务器的UDP1812端口服务端口是否正常，测试后也正常；

4、登陆到OTP服务器检查，发现服务都正常启动，地址也更改也正确；

5、在OTP服务器上抓包，发现只收到这一个request包，然后不发了，并且数据包获取到的源IP地址和实际的地址不符合，这源地址获取的X.X.176.74，实际包里nas是X.X.13.253的真实地址，数据包如下：

6、分析怀疑是网络中做过NAT，于是做路由跟踪，在网络节点中发现了X.X.176.74，如下图所示：

7、于是将OTP服务器里面的对接地址改成X.X.176.74，发现认证依然通不过，和云平台承建方交涉改地址的用处，沟通完发现这个X.X.176.74做的是代理，不是nat，导致UDP的数据只能单向发送。

根因：

网络中存在代理，导致UDP数据只能单向通，所以认证不通过

解决方案

方案一，取消代理解决；

方案二，做NAT解决。

:萌萌哒:感谢楼主的分享，看完之后有一些疑问，在第三点的排查步骤中，UDP的端口测试是需要借助工具测试的，无法使用telnet/sock测试，如果使用工具测试的话可以某公司工具哈~还有一个疑问是最后的结论，导致数据单向发送，是OTP服务器收到包后不回包还是回包了SSL设备没收到包呢？这个第三个没有太明确哈，如果是OTP服务器没有回包需要查OTP服务器的问题，如果是OTP回包了，SSL设备没收到包，就需要查网络的问题了，这个建议可以完善一下。这块地方没太看明白所以不清楚这个解决方案是否可行~

被“奇葩”两个字吸引进来的，还以为会是奇葩文章，没想到是走心的好文。为楼楼点赞。期待楼楼更多干货的输出~

写的还可以

又GET到新知识了，感谢楼主的分享，满满的干货，小伙伴们学习起来！

为楼主点赞，希望楼主多多分享干货！

写的不错，能学到东西

文章写的很好，值得学习

谢谢分享

感谢楼主的分享，满满的干货！谢谢！

写的不错，感谢