问

F1000-AI-30防火墙端口映射+VPN为什么突然不能同时访问

21小时前提问

粉丝：0人关注：0人

3 个回答

按时间按赞数

粉丝：0人关注：0人

谢谢

暂无评论

粉丝：12人关注：0人

正常情况：外部客户端访问公网IP的端口映射，防火墙建立会话：源IP(客户端公网IP) -> 目标IP(防火墙公网IP) -> 转换后的内网服务器IP。
冲突情况：当客户端通过VPN拨入后，它获得了内网IP（如 10.0.0.100）。此时，如果这个客户端再去访问防火墙的公网IP，数据包路径是：
- 去程：源IP(10.0.0.100) -> 目标IP(防火墙公网IP)-> 防火墙查路由表，发现目标IP就是自己，且做了映射，于是将数据包转发给内网服务器。
- 回程：内网服务器回复数据包给 10.0.0.100。但关键点来了：服务器看到目标地址 10.0.0.100和自己在一个局域网，它会直接通过局域网交换机将回复包发回给客户端，而不再经过防火墙。
结果：防火墙发现这个TCP会话的回复包没有从它这里经过，与其会话表记录不符（它只看到了去程包，没看到回程包），认为这是异常连接或攻击，于是主动重置（Reset） 了这个会话。导致客户端连接失败。

1. 检查并尝试关闭“会话黑名单”这是最可能的原因。H3C防火墙有一个安全特性叫“会话黑名单”，专门用于防范上述的非对称路径攻击。

查看日志：登录防火墙Web界面，进入 “系统”>“日志”>“日志设置”，查看安全日志。如果看到类似 Session blacklist: Asymmetric path drop或 会话黑名单：非对称路径丢弃的日志，即可确认。
临时关闭验证：
- Web界面：进入 “策略”>“安全策略”>“攻击防护”>“防攻击”，找到“会话黑名单”相关选项，临时取消勾选“非对称路径检测”或直接关闭会话黑名单功能，然后测试是否恢复正常。
- CLI命令行：system-view-> session black-list-> undo asymmetric-path enable
最终解决方案：关闭此功能会降低安全性，不推荐长期使用。正确的做法是配置策略路由，强制服务器返回给VPN客户端的流量经过防火墙。

2. 检查安全策略确保VPN用户地址池所在的网段，有权限访问目标内网服务器的网段。

路径：“策略”>“安全策略”。
检查规则：需要有一条策略，其“源安全域”为VPN客户端所在的安全域（如Local或特定的VPN域），“目的安全域”为内网服务器所在的安全域（如Trust），“动作”为“允许”。如果这条策略不存在或被误删，也会导致访问失败。

3. 检查路由配置主要是确保内网服务器将回复包发给防火墙。

4. 使用命令行诊断这是最有效的排查手段。通过CLI查看会话表状态。

display session table verbose source-ip <VPN_Client_IP>
- 查看指定VPN客户端IP的所有会话。重点关注它访问内网服务器的那条会话。
观察会话的“状态”（State）。如果看到状态异常，如 SYN_RECV后一直无法建立，或者有 RESET标志，则说明连接被中断了。

一劳永逸避免此问题的方法是从根源上改变访问行为：不要让VPN客户端访问防火墙的公网IP，而是直接访问内网服务器的私有IP。

优点：
- 路径最优，数据包来回都经过防火墙，完全符合防火墙的状态检测机制，不会触发任何安全告警。
- 访问更快速、更稳定。
操作：告知通过VPN接入的员工，需要访问内部服务（如OA、ERP）时，请直接使用内网地址（例如 http://192.168.1.100）而非公网域名。

可能原因	优先级	解决方案
会话黑名单/非对称路径检测	高	临时关闭检测以验证，长期解决方案是配置策略路由或修改访问方式。
安全策略未放通	中	检查并添加允许从VPN地址段访问内网服务器段的的安全策略。
回程路由不正确	中	确保内网服务器返回给VPN客户端的流量经过防火墙。
客户端访问方式不当	根本解决	强制要求VPN客户端直接使用内网IP访问服务，避免使用公网IP/端口映射。

请按照上述流程，尤其是从“会话黑名单”和“访问方式”入手，大概率能解决您的问题。如果排查后问题依旧，可以提供更详细的网络拓扑和配置片段，以便进行更深入的分析。