¡Hola a toda la comunidad Huawei!
Aquí les presentamos un problema que se tuvo para llamar a usuarios VPN en una política de seguridad con equipos Huawei USG6600
[Descripción del Problema]
1. SSL VPN configurado y los usuarios están conectados a los recursos de extensión de la red de acceso mediante un cliente VPN.
2. Creó una política de seguridad para estos usuarios y al elegir al usuario en la política como Cualquiera, funciona bien y puede hacer ping normalmente desde los elementos de red. Sin embargo, cuando se especifica un determinado usuario, el ping se detiene y no puede alcanzar los recursos.
[Análisis]
1. Probamos el comportamiento y permitimos la zona local en la política de seguridad, pero no funcionó.
2. Revisamos la versión del firewall y el parche:
3. Revisamos la configuración de SSL VPN:
4. Verificamos el usuario de prueba que es un usuario local:
5. Confirmamos que el usuario está conectado a través de VPN después de iniciar sesión:
6. Revisamos la tabla de sesiones mientras hacemos ping desde 10.2.4.28 a 10.2.4.27:
En primer lugar, agregamos el test_user a la política de seguridad y luego elegimos cualquier usuario:
Descubrimos que cuando especificamos el usuario, no hay tráfico que llegue al firewall (incluso si no fue denegado), pero cuando seleccionamos al usuario, encontramos que el tráfico encontro una coincidencia en la política correcta y el ping está funcionando.
[Causa Raíz]
Necesita una política de autenticación para las direcciones de origen y destino con una Authentication Exception.
[Solución]
La Política de autenticación debe configurarse de la siguiente manera: Para ( V1R1 )
Especifique la dirección de origen y destino de la política de seguridad a la que agregará los usuarios.
Para (versiones posteriores)
1. Vaya a Object > User > Authentication Policy.
2. Agregue una nueva política, elija la 'Authentication exemption' y use la IP del grupo de direcciones como IP de origen.
Esta es la región de la dirección de origen
Después de esto podemos agregar al usuario a la política de seguridad y hacer ping con éxito.
Espero esta información les sea útil, para cualquier duda, aclaración o comentario, ¡siéntanse libres de comentar aquí abajo!
Maynez
GNOC Engineer
Saludos!