总部和分部 两边都是华三防火墙都有公网固定ip
现在打通了ipsec 内网是可以互通了。
分部所有设备 访问公网的 210.51.45.22 需要转发到总部出口 访问互联网上的 210.51.45.22
我在分部的出口nat的acl上加了一条策略 rule 10 deny ip destination 210.51.45.22 0.0.0.0
加了还是分部是完全无法访问他了。而且流量也不转发到总部后 通过总部出口去互联网访问 210.51.45.22
哪里设置错了呢?
[FenBu-FW]dis acl all
Advanced IPv4 ACL named lan-wan-nat, 3 rules, 这个是为了上网本地内网到出口的ACL
ACL's step is 5
rule 0 deny ip source 172.17.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255
rule 10 deny ip destination 210.51.45.22 0.0.0.0
rule 1000 permit ip
Advanced IPv4 ACL named ipsec-lan-to-lan-zongbu, 1 rule, 这个是ipsec
ACL's step is 5
rule 0 permit ip source 172.17.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255
(0)
最佳答案
已经成功打通了IPsec,内网互通是正常的。现在的问题是分部设备无法访问公网上的特定IP地址(210.51.45.22),即使您在分部出口的ACL中添加了一条拒绝策略。
让我们逐步检查可能的原因和解决方案:
ACL规则顺序:
lan-wan-nat
ACL中,规则10拒绝了目标IP地址为210.51.45.22的流量。请确保这个规则不会影响其他流量。NAT配置:
路由配置:
防火墙策略:
调试和日志:
如果您仍然遇到问题,请检查上述步骤并确保配置正确。
(0)
分部的感兴趣流没匹配啊,那转发不出去很正常。
分部ipsec的acl里要加一条匹配从172.17.20.0/24网段访问210.51.45.22的rule(分部上网的nat的acl里反过来把它deny掉),同理总部ipsec的acl也要加一条匹配从210.51.45.22回包给172.17.20.0/24网段的rule(总部上网的nat的acl里反过把它deny掉,但也要匹配从172.17.20.0/24网段访问210.51.45.22的流,让总部可以把分部发过来的流量nat后发到公网上)。
相关的安全策略也要放通。
(0)
感谢。现在可以了。
感谢。现在可以了。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
内部ipsec标准模板都没启用gre 所以没法启用哦