兩端設備:
內網業務網段(172.16.18.0/24) -----華為防火牆(USG5120)公網IP ~~~~~~Internet~~~~~ 公網IP 深信服雲(SSL VPN 第三方對接功能) -------內網業務網段(172.25.19.0/24)
問題故障:
華為5120防火牆和深信服雲SSL VPN 點到點建立Ipsec隧道后,業務網絡只能單向通信,信服雲能 ping 通 172.16.18.0/24,華為防火牆上不能 ping 通 172.25.19.0/24
解決思路:
找華為在線售后技術支持提供了參考資料:
非常抱歉,您咨詢的產品比較老,已經全面停止維護了,沒有該產品對應的工程師提供技術支持。
您可嘗試在網上搜索一下相關的手冊,或者社區互動:http://forum.huawei.com/enterprise/forum.html
為您提供在維產品的排查指導,僅供參考下
https://info.support.huawei.com/network/ptmngsys/Web/tsrev_security/cn/content/security/35_edesk_ipsec_service_failed_V5R1/edesk_ipsec_service_failed_edesk000.html
在華為互動社區搜索“”IPsec“關鍵詞”,搜索結果:
https://support.huawei.com/enterprise/zh/knowledge/EKB1100087543
在防火牆端跟蹤對端內網業務IP ,發現走公網路由出口,沒有進入IPsec隧道。
traceroute 172.25.19.2
此時在PC上(172.16.18.27) ping對端地址 172.25.19.2 還是不通,在FW(防火牆)上同時查看會話發現做了NAT轉換,未進入IPsec
display firewall session table verbose source inside 172.16.18.27 destination global 172.25.19.2
解決辦法:
在防火牆上配置公網IP的接口下配置了一個全局的“nat enable”,導致源nat下加的 兩端業務IP 不做nat轉換不生效。
undo nat enable 后,源nat下加的 兩端業務IP 不做nat轉換生效。
但是公網接口不做nat轉換后,就不能上網了,需要針對要上網的內網段做源nat轉換,這樣就能上網。
至此,兩端的業務網段IP雙向通信!
排查中用到的命令,很有用:
display ipsec sa
display ike sa
display acl all
display fib (ip)
display firewall session table verbose source inside 172.16.18.27 destination global 172.25.19.2