【WALL1600 下一代防火墙】客户端拨L2TP VPN拨入后无法访问内网资源

发布时间：2013-11-22

点击量：8224

1 、故障现象
vpn能正常拨入，但是无法ping通资源或是无法访问资源。如图1vpn已经正常建立，如图2、图3无法访问资源。

图1           图2

图3

2、故障可能原因
VPN没有正常拨入
资源网段与客户端电脑网段冲突
防火墙没有配置安全规则放通虚IP到资源的访问
防火墙没有到服务器资源的路由,或服务器没有到防火墙的路由
服务器本身业务不正常
服务器没有到虚IP的路由，或到虚IP的路由不是指向防火墙的
服务器自身有防火墙或在服务器前有防火墙拒绝了虚IP的访问

3 、故障处理流程

步骤1：在PC上确认l2tp vpn已经正常拨入
VPN的正常拨入，是让数据进入vpn隧道的必要条件,是访问资源的基础，从以下几步确认VPN已经正常拨入
第1步、确认l2tp vpn拨入成功
如下图拨入成功后vpn的状态会显示为“已连接”

如此处未显视“已连接”参考"L2TP VPN拨入不成功"章节排查。
第2步、查看PC是否正常生成了网关为虚IP的默认路由
电脑默认配置下，l2tp vpn拨号成功后会下生成一条默认路由指向虚IP地址。
1)、查看获取的虚IP
如下图使用ipconfig命令,查看获取的虚IP，用来对比路由是否生成正常。

2)、查看生成的默认路由
如图1为电脑默认情况生成默认路由的配置，图2为下发的默认路由。　
图1

图2
如果l2tp拨号配置没有勾选“在远程网络上使用默认网关”，建议勾选上，勾选后重新拨入L2TP及可生成默认路由。

步骤2：确认资源网段是否与客户端电脑网段冲突
第1步、测试到服务器的访问是否有进入VPN隧道
1.如OA的地址为192.168.58.54,在默认路由已经生成，但是服务器网段和本地电脑网段相同时，我们tracert 这个资源还是会走电脑本身的网段或无响应，导致数据无法进入隧道。
如下图电脑本身的网段也为192.168.58.0/24,虚IP为192.168.100.2

b.遇到以上情况的解决方案是手动添加路由，让到192.168.58.54的数据进入隧道,电脑是依靠路由表让数据进入隧道的，所以是否有到资源的路由指向虚IP非常关键。下图为手动添加路由的方法:

c.通过route print查看刚添加的路由

d.此时再tracert这个资源，我们可以看到是虚IP地址的回应，说明数据已经进入隧道,也代表vpn已经正常拨入，客户端这边没有问题了．

步骤3：确认防火墙的安全规则是否放通
防火墙默认情况下阻止所有通过的数据,所以需要确认防火墙本身是否有放通虚IP到资源的规则。在防火墙－－安全策略－－安全策略处查看:
如下图:
1.确认是否有放通的条目；
2.确认源和目的网段是否配置正确;
3.确认规则是否启用；如没有配置按图2添加规则。

图1

图2
注意：一是防火墙规则必须勾选才能生效；二是安全规则是从上向下匹配的，匹配到一条就不会再向下匹配了，所以一定要确保虚ip到服务器是能匹配到允许的规则,且不会匹配到其它VPN建立的隧道或拒绝的规则。

步骤4：确认防火墙到资源的路由是否可达
虚IP到服务器的数据需要防火墙来转发，所以需要防火墙有到服务器的路由，通过在防火墙上ping服务器测试。
如下图在防火墙系统管理－－监控－－系统监控－－诊断处测试

注意：如果防火墙本身都无法访问到服务器，首先确认防火墙本身是否有到达服务器的路由，确认在防火墙与服务器之间的设备是否有到达防火墙和服务器的路由，确认服务器是否有到达防火墙的路由。
如：有用户的服务器是双网卡，一个网卡连接到了专网，一个网卡连接到新增的防火墙出口，这就可能存在服务器的网关在专网上，把转发到防火墙的数据时转发到了专网上。这情况就需要用户在服务器修改网关，或是添加到虚IP的细化路由指向防火墙。

步骤5：在内网确认服务器本身的业务是否正常
拨入vpn后需要访问内网服务器的资源，那么首先我们要确保服务器业务本身是正常的，可以在与服务器同网段的电脑上尝试是否可以打开服务器资源。如果不能打开说明服务器本身有问题，请与用户确认并解决。

步骤6：确认服务器到虚IP的路由可以到达防火墙
第1步、分析原因　
在vpn成功拨入后无法访问资源，很大一部分原因都是服务器回包不正常，也就是说服务器回应虚IP的报文没有办法正常路由到防火墙上。造成这种情况有以下几种可能：
1).有些用户的服务器有双网卡，一个网卡连接到了专网，一个网卡连接到新增的防火墙出口，这就可能存在服务器的网关在专网上，把转发到虚IP的的数据时转发到了专网上。
2).还有一种情况是内网网段与虚IP网段有冲突，如虚IP网段为192.168.100.0/24 但是核心交换机上也有192.168.0.0/16的路由指到了其它汇聚交换机，或者有完全相同的网段，而一般核心到防火墙是默认路由，根据路由的最长匹配原则导致到虚IP的数据无法转发到防火墙上。
3). 防火墙在旁路模式的情况下，忘记了在核心交换机上加到虚IP的路由指向防火墙导致到虚IP的数据转发不到防火墙。
4).防火墙在桥模式，而核心交换机上只指了条默认路由到出口，没有把到虚IP的路由指到防火墙的桥地址，导致到虚IP的数据直接转发到了出口路由器，而没有转发到防火墙上。

第2步、实施解决方案
解决以上问题，有两方法，方法１是给虚IP做源NAT，但是这种方法会存在局限性，因为给虚IP做了源NAT后在服务器上就无法看到具体是那个虚IP在访问操作服务器了，一般对于一些安全性要求较高的用户不会使用此方法（如金融客户）；方法2在实施上会比较复杂，需要用户配合，对于安全性要求较高的客户推荐使用方法２。
方法1：
这是最简的方法，就是在确保防火墙能访问到服务器的情况，把虚IP通过源NAT转换成防火墙内网接口的地址，或是桥接口的地址，此时会是防火墙代替虚IP访问服务器，只要防火墙能访问到服务器，客户端访问也就会没有问题。
如下图在网络管理－－NAT--NAT规则处配置，如下图为虚IP地址的NAT转换配置：

方法2:
和用户一起排查内网的路由和内网设备的安全规则
a.查看内网网络设备，服务器有没有到虚IP的路由，路径是否是正确的,要保证到虚IP的数据要能正常转发到防火墙，没有路由的要手动添加路由。
b.查看内网是否有和虚IP相同的网段，或是包含了虚IP的网段，如果存在网段冲突就要更改虚IP的网段。

步骤7：确认服务器前是否有防火墙拒绝了虚IP的访问
有些用户为了保障服务器的安全，在服务器前部署了防火墙，只放通了部分网段的访问，如果遇到这种情况，需要告知用户增加虚IP到服务器的放通规则。在用户的网中的也可能还有其它设备有安全策略拒绝虚IP访问服务器,所以在整网路由没有问题的情况下还无法访问服务器，还需要注意网络中其它设备上的ACL或安全规则。
如果还是无法解决参考“步骤8：还是无法解决收集信息联系4008111000”

步骤8：还是无法解决收集信息联系4008111000
需要收集的信息：
1.提供以上排查步骤的结果
2.收集当前用户网络完整的拓扑
3.客户端电脑的操作系统信息,电脑的IP地址
4.用户服务器的网段，内网的用户网段，虚IP地址网段；
5.服务器的具体业务，如是web访问，还是数据库应用；
show running-config
show version

需要收集的信息解释:
show running-config：收集配置信息,也可以在“系统管理”－－“维护”－－“备份恢复”处理导出；
show version：收集版本信息，也可以在WEB界面首页查看。