IPsec隧道建立后业务网络只能单向通信

本文转载自查看原文 2022-02-15 15:40 768

两端设备：

内网业务网段（172.16.18.0/24) -----华为防火墙（USG5120）公网IP ~~~~~~Internet~~~~~ 公网IP 深信服云(SSL VPN 第三方对接功能) -------内网业务网段（172.25.19.0/24）

问题故障：

华为5120防火墙和深信服云SSL VPN 点到点建立Ipsec隧道后，业务网络只能单向通信，信服云能 ping 通 172.16.18.0/24，华为防火墙上不能 ping 通 172.25.19.0/24

解决思路：

找华为在线售后技术支持提供了参考资料：

非常抱歉，您咨询的产品比较老，已经全面停止维护了，没有该产品对应的工程师提供技术支持。
您可尝试在网上搜索一下相关的手册，或者社区互动：http://forum.huawei.com/enterprise/forum.html

为您提供在维产品的排查指导，仅供参考下
https://info.support.huawei.com/network/ptmngsys/Web/tsrev_security/cn/content/security/35_edesk_ipsec_service_failed_V5R1/edesk_ipsec_service_failed_edesk000.html

在华为互动社区搜索“”IPsec“关键词”,搜索结果：

https://support.huawei.com/enterprise/zh/knowledge/EKB1100087543

在防火墙端跟踪对端内网业务IP ，发现走公网路由出口,没有进入IPsec隧道。

traceroute 172.25.19.2

此时在PC上（172.16.18.27） ping对端地址 172.25.19.2 还是不通，在FW（防火墙）上同时查看会话发现做了NAT转换，未进入IPsec

display firewall session table verbose source inside 172.16.18.27 destination global 172.25.19.2

解决办法：

在防火墙上配置公网IP的接口下配置了一个全局的“nat enable”，导致源nat下加的两端业务IP 不做nat转换不生效。

undo nat enable 后，源nat下加的两端业务IP 不做nat转换生效。

但是公网接口不做nat转换后，就不能上网了，需要针对要上网的内网段做源nat转换，这样就能上网。

至此，两端的业务网段IP双向通信！

排查中用到的命令，很有用：

display ipsec sa

display ike sa

display acl all

display fib (ip)

display firewall session table verbose source inside 172.16.18.27 destination global 172.25.19.2

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 通信与网络安全之IPSEC 服务器和客户端Socket单向通信例子 HUAWEI防火墙通过IPSec隧道使总部与分部在多业务场景下实现业务隔离互访 [ipsec][strongswan] VirtualPN隧道网络加速FEC(forward error correction) 什么是 IP 隧道，Linux 怎么实现隧道通信？网络隧道技术 linux – 使用iptables,匹配通过IPSEC隧道到达的数据包 ICMP隐藏通信隧道技术利用阿里云网关建立ikev2+ROS隧道+OSPF，给企业三层网络，利用阿里云上的ROS冗余上网 HTTPS连接建立过程(单向&双向)