某局点F1000防火墙nat server映射pptp vpn服务器异常的经验处理案例

F1000防火墙作为出口，有两条出口链路，通过等价路由负载均衡，在某一出口做了nat server，将内网的pptp vpn服务器映射到公网。

发现能够正常发起vpn拨号，但是ppp无法协商成功。配置如下（只放了nat server相关配置，安全域等配置省略）

1、检查出接口的配置，确认有配置ip last-hop hold，作用是保证来回路径一致，使回包不从另一出接口发出去。

2、检查nat alg，确认nat alg pptp处于开启状态。

[F1000]dis nat alg 

NAT ALG: 

 DNS : Enabled

 FTP : Enabled

 H323 : Enabled

 ICMP-ERROR : Enabled

 ILS : Enabled

 MGCP : Enabled

 NBT : Enabled

 PPTP : Enabled

 RTSP : Enabled

 RSH : Enabled

 SCCP : Enabled

 SIP : Enabled

 SQLNET : Enabled

 TFTP : Enabled

 XDMCP : Enabled

3、尝试配置port-mapping application pptp port 1723，问题依旧。

4、对比正常和非正常的抓包文件，发现正常报文交互能够看到ppp报文来回协商，但是异常报文只能看到客户端发给服务器的ppp报文，没有看到服务器发给客户端的ppp报文

正常

异常

5、在防火墙上开启debug后，发现服务器端发送的configuration request，是从Dialer0口出去，不是从外网口（GigabitEthernet1/0/1） 发出去

*May 5 20:24:23:236 2020 fw IPFW/7/IPFW_PACKET: 

 Sending, interface = Dialer0

6、通过上述现象判断，报文在交互过程中数据五元组应该发生过改变，导致回包的时候匹配不到ip last-hop hold生成的表项，从错误的接口发了出去。

配置策略路由，使服务器的报文固定从公网口出去。