ipsec流量转发配置
- 0关注
- 0收藏,434浏览
问题描述:
总部和分部 两边都是华三防火墙都有公网固定ip
现在打通了ipsec 内网是可以互通了。
分部所有设备 访问公网的 210.51.45.22 需要转发到总部出口 访问互联网上的 210.51.45.22
我在分部的出口nat的acl上加了一条策略 rule 10 deny ip destination 210.51.45.22 0.0.0.0
加了还是分部是完全无法访问他了。而且流量也不转发到总部后 通过总部出口去互联网访问 210.51.45.22
哪里设置错了呢?
[FenBu-FW]dis acl all
Advanced IPv4 ACL named lan-wan-nat, 3 rules, 这个是为了上网本地内网到出口的ACL
ACL's step is 5
rule 0 deny ip source 172.17.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255
rule 10 deny ip destination 210.51.45.22 0.0.0.0
rule 1000 permit ip
Advanced IPv4 ACL named ipsec-lan-to-lan-zongbu, 1 rule, 这个是ipsec
ACL's step is 5
rule 0 permit ip source 172.17.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255
- 2024-07-11提问
- 举报
-
(0)
最佳答案
已经成功打通了IPsec,内网互通是正常的。现在的问题是分部设备无法访问公网上的特定IP地址(210.51.45.22),即使您在分部出口的ACL中添加了一条拒绝策略。
让我们逐步检查可能的原因和解决方案:
-
ACL规则顺序:
- 您的ACL规则是按顺序执行的。在您的
lan-wan-natACL中,规则10拒绝了目标IP地址为210.51.45.22的流量。请确保这个规则不会影响其他流量。 - 您可以尝试将规则10移动到更靠后的位置,以确保它不会干扰其他流量。
- 您的ACL规则是按顺序执行的。在您的
-
NAT配置:
- 您是否在分部设备上配置了NAT(网络地址转换)?如果是,您需要确保NAT配置正确,以便将分部内部IP映射到公网IP。
- 检查NAT配置是否包括目标IP地址210.51.45.22。
-
路由配置:
- 确保分部设备的路由表中存在正确的默认路由(网关),以便将流量发送到总部出口。
- 检查分部设备的路由表,确保它知道将流量发送到总部出口。
-
防火墙策略:
- 检查总部防火墙的策略,确保它允许从分部到公网的流量。
- 确保总部防火墙不会阻止分部设备访问210.51.45.22。
-
调试和日志:
- 在分部设备上启用调试功能,查看流量是否被正确转发或被阻止。
- 检查总部防火墙的日志,查看是否有与210.51.45.22相关的拒绝记录。
如果您仍然遇到问题,请检查上述步骤并确保配置正确。
- 2024-07-11回答
- 评论(5)
- 举报
-
(0)
分部的感兴趣流没匹配啊,那转发不出去很正常。
分部ipsec的acl里要加一条匹配从172.17.20.0/24网段访问210.51.45.22的rule(分部上网的nat的acl里反过来把它deny掉),同理总部ipsec的acl也要加一条匹配从210.51.45.22回包给172.17.20.0/24网段的rule(总部上网的nat的acl里反过把它deny掉,但也要匹配从172.17.20.0/24网段访问210.51.45.22的流,让总部可以把分部发过来的流量nat后发到公网上)。
相关的安全策略也要放通。
- 2024-07-11回答
- 评论(1)
- 举报
-
(0)
感谢。现在可以了。
感谢。现在可以了。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
内部ipsec标准模板都没启用gre 所以没法启用哦