F1000防火墙作为出口,有两条出口链路,通过等价路由负载均衡,在某一出口做了nat server,将内网的pptp vpn服务器映射到公网。
发现能够正常发起vpn拨号,但是ppp无法协商成功。配置如下(只放了nat server相关配置,安全域等配置省略)
1、检查出接口的配置,确认有配置ip last-hop hold,作用是保证来回路径一致,使回包不从另一出接口发出去。
2、检查nat alg,确认nat alg pptp处于开启状态。
[F1000]dis nat alg
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Enabled
ICMP-ERROR : Enabled
ILS : Enabled
MGCP : Enabled
NBT : Enabled
PPTP : Enabled
RTSP : Enabled
RSH : Enabled
SCCP : Enabled
SIP : Enabled
SQLNET : Enabled
TFTP : Enabled
XDMCP : Enabled
3、尝试配置port-mapping application pptp port 1723,问题依旧。
4、对比正常和非正常的抓包文件,发现正常报文交互能够看到ppp报文来回协商,但是异常报文只能看到客户端发给服务器的ppp报文,没有看到服务器发给客户端的ppp报文
正常
异常
5、在防火墙上开启debug后,发现服务器端发送的configuration request,是从Dialer0口出去,不是从外网口(GigabitEthernet1/0/1) 发出去
*May 5 20:24:23:236 2020 fw IPFW/7/IPFW_PACKET:
Sending, interface = Dialer0
6、通过上述现象判断,报文在交互过程中数据五元组应该发生过改变,导致回包的时候匹配不到ip last-hop hold生成的表项,从错误的接口发了出去。
配置策略路由,使服务器的报文固定从公网口出去。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作