De acuerdo

Problema llamando usuario VPN en política de seguridad USG6600

Última respuesta en. 18, 2022 12:52:40 450 2 14 0 0

¡Hola a toda la comunidad Huawei!

Aquí les presentamos un problema que se tuvo para llamar a usuarios VPN en una política de seguridad con equipos Huawei USG6600


[Descripción del Problema]

1. SSL VPN configurado y los usuarios están conectados a los recursos de extensión de la red de acceso mediante un cliente VPN.


2. Creó una política de seguridad para estos usuarios y al elegir al usuario en la política como Cualquiera, funciona bien y puede hacer ping normalmente desde los elementos de red. Sin embargo, cuando se especifica un determinado usuario, el ping se detiene y no puede alcanzar los recursos.

091806mmhfmxc1k1wfk1bc.png?111.PNG

Figura 1: Política de seguridad



[Análisis]

1. Probamos el comportamiento y permitimos la zona local en la política de seguridad, pero no funcionó.

085311d7hdn5nl351h6xn7.jpg?1.jpg

Figura 2: Prueba de comportamineto


2. Revisamos la versión del firewall y el parche:

085435iofhjgng74v08xzk.jpg?2.jpg

FIgura 3: Versión de firmware


3. Revisamos la configuración de SSL VPN:

085638svemld6xjjs06sms.png?3.png

Figura 4: Configuración SSL VPN


4. Verificamos el usuario de prueba que es un usuario local:

085809ghs5thhbdrbbznir.jpg?4.jpg

FIgura 5: Prueba en usuario local


5. Confirmamos que el usuario está conectado a través de VPN después de iniciar sesión:

085908ygwbjl9wdq4bkwvd.jpg?5.jpg

FIgura 6: Verificación de uso de VPN


6. Revisamos la tabla de sesiones mientras hacemos ping desde 10.2.4.28 a 10.2.4.27:

En primer lugar, agregamos el test_user a la política de seguridad y luego elegimos cualquier usuario:

090027ysgbkeii8sx00838.jpg?6.jpg

FIgura 6: Política de seguridad


Descubrimos que cuando especificamos el usuario, no hay tráfico que llegue al firewall (incluso si no fue denegado), pero cuando seleccionamos al usuario, encontramos que el tráfico encontro una coincidencia en la política correcta y el ping está funcionando.


[Causa Raíz]

Necesita una política de autenticación para las direcciones de origen y destino con una Authentication Exception.


[Solución]

La Política de autenticación debe configurarse de la siguiente manera: Para ( V1R1 )

090303q7m77cbe4rm9a74j.png?7.png

Figura 7: Configuración de política de seguridad



Especifique la dirección de origen y destino de la política de seguridad a la que agregará los usuarios.


Para (versiones posteriores)


1. Vaya a Object > User > Authentication Policy.

091125vuos33ug6a39gda1.jpg?8.jpg

Figura 8: Instrucción para versiones posteriores


2. Agregue una nueva política, elija la 'Authentication exemption' y use la IP del grupo de direcciones como IP de origen.

091229ezz5cbrob1zhbqd2.jpg?9.jpg

Figura 9: Configuración


Esta es la región de la dirección de origen

Después de esto podemos agregar al usuario a la política de seguridad y hacer ping con éxito.


Espero esta información les sea útil, para cualquier duda, aclaración o comentario, ¡siéntanse libres de comentar aquí abajo!


Maynez

GNOC Engineer


Saludos!


  • x
  • convención:

Gustavo.HdezF
Admin Publicado 2019-6-25 10:52:35
Gracias por la información, los usuarios del foro la encontraran útil si en algún momento se encuentran con este problema. Saludos..
Ver más
  • x
  • convención:

AndresMoreno
Admin Publicado 2022-1-18 12:52:40
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.