• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点F1000防火墙nat server映射pptp vpn服务器异常的经验处理案例

2020-05-31 发表
  • 0关注 ,566浏览
粉丝:3人 关注:0人

组网及说明

F1000防火墙作为出口,有两条出口链路,通过等价路由负载均衡,在某一出口做了nat server,将内网的pptp vpn服务器映射到公网。


问题描述

发现能够正常发起vpn拨号,但是ppp无法协商成功。配置如下(只放了nat server相关配置,安全域等配置省略)

 nat alg h323
 nat alg ils
 nat alg mgcp
 nat alg nbt
 nat alg rsh
 nat alg sccp
 nat alg sip
 nat alg sqlnet
 nat alg tftp
 nat alg xdmcp

#
interface GigabitEthernet1/0/1
 port link-mode route
 description VPN
 combo enable copper
 ip address 116.X.X.X 255.255.255.248
 ip last-hop hold
 nat outbound
 nat server protocol tcp global 116.X.X.X 1723 inside 192.168.1.252 1723 rule ServerRule_1 counting
 nat server protocol tcp global 116.X.X.X 8090 inside 192.168.1.198 80 rule ServerRule_3 counting
 nat server protocol udp global 116.X.X.X 1723 inside 192.168.1.252 1723 rule ServerRule_4 counting
 undo dhcp select server

 gateway 116.X.X.X

过程分析

1、检查出接口的配置,确认有配置ip last-hop hold,作用是保证来回路径一致,使回包不从另一出接口发出去。

2、检查nat alg,确认nat alg pptp处于开启状态。

[F1000]dis nat alg 

NAT ALG: 

 DNS : Enabled

 FTP : Enabled

 H323 : Enabled

 ICMP-ERROR : Enabled

 ILS : Enabled

 MGCP : Enabled

 NBT : Enabled

 PPTP : Enabled

 RTSP : Enabled

 RSH : Enabled

 SCCP : Enabled

 SIP : Enabled

 SQLNET : Enabled

 TFTP : Enabled

 XDMCP : Enabled

3、尝试配置port-mapping application pptp port 1723,问题依旧。

4、对比正常和非正常的抓包文件,发现正常报文交互能够看到ppp报文来回协商,但是异常报文只能看到客户端发给服务器的ppp报文,没有看到服务器发给客户端的ppp报文

正常


异常


5、在防火墙上开启debug后,发现服务器端发送的configuration request,是从Dialer0口出去,不是从外网口(GigabitEthernet1/0/1) 发出去

*May 5 20:24:23:236 2020 fw IPFW/7/IPFW_PACKET: 

 Sending, interface = Dialer0

6、通过上述现象判断,报文在交互过程中数据五元组应该发生过改变,导致回包的时候匹配不到ip last-hop hold生成的表项,从错误的接口发了出去。


解决方法

配置策略路由,使服务器的报文固定从公网口出去。

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作