Problema llamando usuario VPN en política de seguridad USG6600

Última respuesta jun. 25, 2019 09:52:35 131 1 8 0

¡Hola a toda la comunidad Huawei!

Aquí les presentamos un problema que se tuvo para llamar a usuarios VPN en una política de seguridad con equipos Huawei USG6600


[Descripción del Problema]

1. SSL VPN configurado y los usuarios están conectados a los recursos de extensión de la red de acceso mediante un cliente VPN.


2. Creó una política de seguridad para estos usuarios y al elegir al usuario en la política como Cualquiera, funciona bien y puede hacer ping normalmente desde los elementos de red. Sin embargo, cuando se especifica un determinado usuario, el ping se detiene y no puede alcanzar los recursos.

091806mmhfmxc1k1wfk1bc.png?111.PNG


[Análisis]

1. Probamos el comportamiento y permitimos la zona local en la política de seguridad, pero no funcionó.

085311d7hdn5nl351h6xn7.jpg?1.jpg


2. Revisamos la versión del firewall y el parche:

085435iofhjgng74v08xzk.jpg?2.jpg


3. Revisamos la configuración de SSL VPN:

085638svemld6xjjs06sms.png?3.png


4. Verificamos el usuario de prueba que es un usuario local:

085809ghs5thhbdrbbznir.jpg?4.jpg


5. Confirmamos que el usuario está conectado a través de VPN después de iniciar sesión:

085908ygwbjl9wdq4bkwvd.jpg?5.jpg

6. Revisamos la tabla de sesiones mientras hacemos ping desde 10.2.4.28 a 10.2.4.27:

En primer lugar, agregamos el test_user a la política de seguridad y luego elegimos cualquier usuario:

090027ysgbkeii8sx00838.jpg?6.jpg


Descubrimos que cuando especificamos el usuario, no hay tráfico que llegue al firewall (incluso si no fue denegado), pero cuando seleccionamos al usuario, encontramos que el tráfico encontro una coincidencia en la política correcta y el ping está funcionando.


[Causa Raíz]

Necesita una política de autenticación para las direcciones de origen y destino con una Authentication Exception.


[Solución]

La Política de autenticación debe configurarse de la siguiente manera: Para ( V1R1 )

090303q7m77cbe4rm9a74j.png?7.png


Especifique la dirección de origen y destino de la política de seguridad a la que agregará los usuarios.


Para (versiones posteriores)


1. Vaya a Object > User > Authentication Policy.

091125vuos33ug6a39gda1.jpg?8.jpg


2. Agregue una nueva política, elija la 'Authentication exemption' y use la IP del grupo de direcciones como IP de origen.

091229ezz5cbrob1zhbqd2.jpg?9.jpg


Esta es la región de la dirección de origen

Después de esto podemos agregar al usuario a la política de seguridad y hacer ping con éxito.


Espero esta información les sea útil, para cualquier duda, aclaración o comentario, ¡siéntanse libres de comentar aquí abajo!


Maynez

GNOC Engineer


Saludos!






  • x
  • convención:

Moderador Publicado 2019-6-25 09:52:35 Útil(1) Útil(1)
Gracias por la información, los usuarios del foro la encontraran útil si en algún momento se encuentran con este problema. Saludos..
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba