F1000防火墙双出口l2tp vpn有一个公网地址无法拨入
- 0关注
- 0收藏,50浏览
参考
1. 路由选择问题
浮动路由默认主路径指向 reth1,导致 L2TP 流量始终从 reth1 出口发出。当尝试通过 reth2 拨入时,流量路径可能不一致(如请求从 reth2 进入,但响应被路由至 reth1),触发隧道保活超时。
解决方案:
配置策略路由(PBR) 强制 L2TP 流量“原进原出”。示例:
创建匹配 L2TP 流量的 ACL(UDP 1701 端口)
acl advanced 3100
rule permit udp destination-port eq 1701
配置策略路由
policy-based-route l2tp_pbr permit node 10
if-match acl 3100
apply next-hop [对应出口网关地址] 若为拨号接口:apply output-interface [接口名]
全局调用策略路由
ip local policy-based-route l2tp_pbr
2. NAT 映射缺失
问题:L2TP 服务器监听在防火墙内网地址,但 reth2 的出口公网 IP 未配置端口映射(UDP 1701)。
解决:在 reth2 接口补充 NAT Server 配置:
nat server protocol udp global [reth2公网IP] 1701 inside [内网L2TP服务器IP] 1701
3. 安全策略限制
确认 reth2 所在安全域(如 UntrustB)到 L2TP 服务器所在安全域的策略已放行 UDP 1701 流量。
若使用 VPN 实例,需确保 VPN 路由和策略同步正确。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论