• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ipsec流量转发配置

2024-07-11提问
  • 0关注
  • 0收藏,434浏览
粉丝:0人 关注:1人

问题描述:

总部和分部 两边都是华三防火墙都有公网固定ip

现在打通了ipsec  内网是可以互通了。

分部所有设备 访问公网的  210.51.45.22   需要转发到总部出口 访问互联网上的  210.51.45.22

我在分部的出口nat的acl上加了一条策略 rule 10 deny ip destination 210.51.45.22 0.0.0.0

加了还是分部是完全无法访问他了。而且流量也不转发到总部后 通过总部出口去互联网访问 210.51.45.22

哪里设置错了呢?

 

[FenBu-FW]dis acl all
Advanced IPv4 ACL named lan-wan-nat, 3 rules,    这个是为了上网本地内网到出口的ACL
ACL's step is 5
rule 0 deny ip source 172.17.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255
rule 10 deny ip destination 210.51.45.22 0.0.0.0
rule 1000 permit ip

Advanced IPv4 ACL named ipsec-lan-to-lan-zongbu, 1 rule, 这个是ipsec
ACL's step is 5
rule 0 permit ip source 172.17.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 

最佳答案

粉丝:137人 关注:1人

已经成功打通了IPsec,内网互通是正常的。现在的问题是分部设备无法访问公网上的特定IP地址(210.51.45.22),即使您在分部出口的ACL中添加了一条拒绝策略。

让我们逐步检查可能的原因和解决方案:

  1. ACL规则顺序

    • 您的ACL规则是按顺序执行的。在您的lan-wan-nat ACL中,规则10拒绝了目标IP地址为210.51.45.22的流量。请确保这个规则不会影响其他流量。
    • 您可以尝试将规则10移动到更靠后的位置,以确保它不会干扰其他流量。
  2. NAT配置

    • 您是否在分部设备上配置了NAT(网络地址转换)?如果是,您需要确保NAT配置正确,以便将分部内部IP映射到公网IP。
    • 检查NAT配置是否包括目标IP地址210.51.45.22。
  3. 路由配置

    • 确保分部设备的路由表中存在正确的默认路由(网关),以便将流量发送到总部出口。
    • 检查分部设备的路由表,确保它知道将流量发送到总部出口。
  4. 防火墙策略

    • 检查总部防火墙的策略,确保它允许从分部到公网的流量。
    • 确保总部防火墙不会阻止分部设备访问210.51.45.22。
  5. 调试和日志

    • 在分部设备上启用调试功能,查看流量是否被正确转发或被阻止。
    • 检查总部防火墙的日志,查看是否有与210.51.45.22相关的拒绝记录。

如果您仍然遇到问题,请检查上述步骤并确保配置正确。

内部ipsec标准模板都没启用gre 所以没法启用哦

itxinxi 发表时间:2024-07-12 更多>>

你理解错了

itxinxi 发表时间:2024-07-11

现在目标是:分部 访问互联网上的 210.51.45.22 设备时候 流量转发到总部出口去访问,我在分部的nat的acl上做了一条 不让本地nat出去,流量好像没转发到总部出去

itxinxi 发表时间:2024-07-11
回复itxinxi:

tracert -d 跟踪下路由

叫我靓仔 发表时间:2024-07-11
回复itxinxi:

你这个最好gre一下,然后明细路由丢给gre

叫我靓仔 发表时间:2024-07-11

内部ipsec标准模板都没启用gre 所以没法启用哦

itxinxi 发表时间:2024-07-12
1 个回答
已采纳
粉丝:29人 关注:9人

分部的感兴趣流没匹配啊,那转发不出去很正常。

分部ipsec的acl里要加一条匹配从172.17.20.0/24网段访问210.51.45.22的rule(分部上网的nat的acl里反过来把它deny掉),同理总部ipsec的acl也要加一条匹配从210.51.45.22回包给172.17.20.0/24网段的rule(总部上网的nat的acl里反过把它deny掉,但也要匹配从172.17.20.0/24网段访问210.51.45.22的流,让总部可以把分部发过来的流量nat后发到公网上)。

相关的安全策略也要放通。

感谢。现在可以了。

itxinxi 发表时间:2024-07-12 更多>>

感谢。现在可以了。

itxinxi 发表时间:2024-07-12

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明