深信服防火墙AF与第三方东软防火墙对接(标准IPSec)建立VPN后,发现数据不通
深信服防火墙AF与第三方东软防火墙对接(标准IPSec)建立VPN后,发现数据不通
导语
问题描述: AF与东软防火墙成功建立IPsec VPN后,AF内网用户访问不到总部内网资源
要点
- 问题描述: AF与东软防火墙成功建立IPsec VPN后,AF内网用户访问不到总部内网资源
- 告警信息: 分支内网用户ping不通总部内网的ip地址,如下: 处理过程: 1、开直通依旧,直通配置路径,如下: (1)以标准版本AF7
- 3版本操作路径示例:可在【系统维护】-【数据包拦截日志与直通】配置 (2)以标准版本AF7
- 4版本操作路径示例:可在【系统】-【排障】-【数据包拦截日志与直通】配置 2、分别在AF的lan口、vpntun口及wan口分别抓包,发现只有请求包,没有回复包
问题描述:
AF与东软防火墙成功建立IPsec VPN后,AF内网用户访问不到总部内网资源。
告警信息:
分支内网用户ping不通总部内网的ip地址,如下:
处理过程:
1、开直通依旧,直通配置路径,如下:
(1)以标准版本AF7.3版本操作路径示例:可在【系统维护】-【数据包拦截日志与直通】配置
(2)以标准版本AF7.4版本操作路径示例:可在【系统】-【排障】-【数据包拦截日志与直通】配置
2、分别在AF的lan口、vpntun口及wan口分别抓包,发现只有请求包,没有回复包,如下:命令行控制台打开路径:
(1)以标准版本AF7.3版本操作路径为例,可在【系统维护】-【命令行控制台】中查看或执行当前版本支持的命令
(2)以标准版本AF7.4版本操作路径为例,可在【系统】-【排障】-【命令行控制台】中查看或执行当前版本支持的命令vpntun及
内网口:
外网口:
3、协调对端同样抓包分析,发现是被对端的安全设备拦截。
根因:
被对端安全设备拦截。
解决方案:
对端安全设备放通策略后即可正常访问。
建议与总结:
IPsec VPN建立成功而数据不同且开直通依旧的问题,建议在设备的lan口、vpntun口及wan口抓包,分析具体是哪一步出现了问题,根据具体情况来解决。