【WALL1600 下一代防火墙】ipsec vpn站点到站点vpn建立后无法正常通信

发布时间：2013-11-25

点击量：3924

1 、故障现象
站点到站点的ipsec已经建立,但是两端的网络无法互访。如下图拓扑图，分公司的10.10.10.0/24网段无法访问总部的192.168.58.0/24网段。

2、故障可能原因
ipsec隧道没有建立成功
防火墙没有正确配置ipsec安全规则放通感兴趣流
防火墙没有到服务器资源的路由,或服务器没有到防火墙的路由
服务器本身业务不正常
服务器没有到隧道对端网络的路由或到对端网络的路由不是指向防火墙的
服务器自身有防火墙或在服务器前有防火墙拒绝隧道对端网络的访问

3 、故障处理流程

4、故障排查步骤

步骤1：确认IPSEC VPN隧道已经协商成功

IPsec 隧道的成功建立，这是让数据进入vpn隧道的必要条件,是防火墙两端内部网络互访的基础。如下图表示ipsec vpn隧道已经协商成功，如没有正常建立，参考“IPsec站点到站点模式隧道无法建立成功”排查。

步骤2：查看防火墙的安全规则是放通
防火墙默认情况下阻止所有通过的数据,NGFW 的IPSEC VPN隧道的感兴趣流也是在安全策略中定义，所以需要确认防火墙配置了放通总部与分部网段的安全策略,并关联到了对应的隧道。在防火墙－－安全策略－－安全策略处查看：安全规则一定按用户实际拓扑地址规划配置，如下图1为用户网络拓扑，图2、图3为总部防火墙的安全规则，如图4、图5为分部防火墙的安全规则。检查时如果发现接口或网段配置不对，要根据实际情况修改。

图1

图2

图3

图4

注意：
1.关联ipsce隧道的安全规则，总部服务器网段和分公司的内网网段一定要对比用户实际的网络地址段配置正确；
2.防火墙规则必须勾选才能生效；
3.安全规则是从上向下匹配的，匹配到一条就不会再向下匹配了，所以一定要确保分部到服务器是能匹配到允许的ipsec规则的,且不会匹配到其它VPN隧道或安全规则。

步骤3：确认防火墙到资源的路由是否可达
如图1拓扑，分公司的电脑是使用电脑实际的IP地址去访问服务器；我们可以把总部和分部之间的internet网，看成是一条直连的网线，那么要保证防火墙两端网络的通信，首先要确保总部的防火墙有到服务器的路由,分部防火墙有到客户机PC的路由。可以在防火墙上使用ping测试路由的可达性。
如下图在防火墙系统管理－－监控－－系统监控－－诊断处测试

以总部为例测试防火墙是否可以和服务器通信

注意：如果防火墙本身都无法访问到服务器，首选确认防火墙本身是否有到达服务器的路由，确认中间设备是否有到达防火墙和服务器的路由，确认服务器是否有到达防火墙的路由。
如：有用户的服务器是双网卡，一个网卡连接到了专网，一个网卡连接到新增的防火墙出口，这就可能存在服务器的网关在专网上，把转发到防火墙的数据时转发到了专网上。这情况就需要用户在服务器修改网关，或是添加到虚IP的细化路由指向防火墙。数据时转发到了专网上。

步骤4：在内网确认服务器本身的业务是否正常
需要拨入vpn后访问内网服务器的资源，那么首先我们要确保服务器业务本身是正常的，可以在内网的电脑上尝试是否可以打开服务器资源。如果不能打开要告知用户排查解决。

步骤5：确认服务器网段到分部网段的路由是指向总部的防火墙，分部网段到服务器网段路由也是指向分部的防火墙
第1步、分析原因　
在ipsec隧道建立后，资源无法互访，很大一部分故障原因都是由于服务器的回包不正常，也就是说服务器分部网段的报文没有办法正常路由到防火墙上。造成这种情况有以下几种可能：
a.有些用户的服务器有双网卡，有多个出口，可能存在服务器的网关在其它出口上，到分部网段的回应包文路由到了其它出口。
b.还有一种情况是总部内网网段与分部网段有冲突，如分部网段为10.10.10.0/24 但是总部的核心交换机上有10.10.0.0/16网段路由指到了其它汇聚交换机，或者有完全相同的网段，而核心交换机到防火墙是默认路由，根据路由的最长匹配原则导致到分部的数据无法转发到防火墙。
c. 防火墙在旁路模式的情况下，忘记了在核心交换机上加到分部网段的路由指向防火墙导致到虚IP的数据转发不到防火墙。
d.如总部的防火墙在桥模式，而核心交换机上只指了条默认路由到出口，没有把到分部的路由指到防火墙的桥地址，导致到虚IP的数据直接转发到了出口路由器，而没有转发到防火墙上。出现以上情况，可以使用如下方案解决：
　
第2步、实施解决方案
解决以上问题，有两方法:
方法１是给虚IP做源NAT，但是这种方法会存在局限性，一是因为给虚IP做了源NAT后在服务器上就无法看到具体是那个虚IP在访问操作服务器了，一般对于一些安全性要求较高的用户不会使用此方法（如金融客户）；二是如果总部也需要主动访问分部的网段，以此方法就无法解决，需要参考方法2解决。
方法2在实施上会比较复杂，需要用户配合，对于安全性要要求较高的客户或总部也需要访问分部用户推荐使用方法２。

方法1：以总部与分部网段冲突或总部内网没有把到分部路由指向防火墙为例
这是最简单的方法，就是在确保防火墙能访问到服务器的情况，把分部的网段通过源NAT转换成防火墙内网接口的地址，或是桥接口的地址，此时会是防火墙代替分部访问总部内网的服务器，只要防火墙能访问到服务器，分部访问也就没有问题。
在网络管理－－NAT--NAT规则选项配置，如图1为网络拓扑，图2为在总部的防火墙上把10.10.10.0/24转换成总部防火墙内网接口地址配置：

图1

图2

方法2:和用户一起排查内网的路由从根上解决问题，以总部为例
a.查看总部内网设备，服务器有没有到分部的路由，路径是否是正确的,要保证到分部的数据要能正常转发到防火墙。
b.查看总部内网是否有和分部相同的网段，或是包含了分部的网段。如果没有路由就添加路由，如果存在网段冲突就需要更改分部或总部的网段,使两端没有冲突。

步骤6：确认服务器前是否有防火墙拒绝了分部的访问
有些用户为了保障服务器的安全，在服务器前部署了防火墙，只放通了部分网段的访问，如遇到这种情况，需要告知用户增加分部到服务器的放通规则。在用户的网中的也可能还有其它设备有安全策略拒绝分部访问服务器,所以在整网路由没有问题的情况下还无法访问服务器，还需要注意网络中其它设备上的ACL或安全规则拒绝分部网段访问服务器。如果还是无法解决参考“步骤7：还是无法解决收集信息联系4008111000”

步骤7：还是无法解决收集信息联系4008111000
需要收集的信息：
1.提供以上排查步骤的结果
2.收集当前用户网络完整的拓扑,及网络地址规划
4.收集用户服务器的网段，分公司的网段
5.服务器的具体业务，如是web访问，还是数据库应用；
show running-config
show version

需要收集的信息解释:
show running-config：收集配置信息,也可以在“系统管理”－－“维护”－－“备份恢复”处理导出；
show version ：收集版本信息，也可以在WEB界面首页查看。