Sitio a Sitio IPsec VPN puede subir, pero la IP privada no puede comunicarse

61 0 0 0

Descripción del problema

El cliente estableció el túnel VPN con la puerta de enlace VPN Cisco de Head Office con éxito mediante la adición de la dirección IP pública. Pero el tráfico de protección IPsec no se puede pasar por el túnel IPsec, el tráfico privado de la sucursal no puede llegar al servidor privado de HQ.

                                              Proceso de manipulación

1. verificar el ike sa y el ipsec sa.

 

< USG6300 > display ike sa

11:39: 45 2018/08/14

Número de sa de ike actual: 2

--------------------------------------------------------------------------------------------------.

Fase de bandera de conn-id vpn

--------------------------------------------------------------------------------------------------.

611 1.2.221.17: 4500 RD de St.

610 1.2.221.17: 4500 RD de St.

 

 

Significado de la bandera

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT.

TD--DELETING NEG--NEGOTIATING D--DPD M--ACTIVE S--STANDBY.

A--ALONE.

 

< USG6300 > display ipsec sa

11:39: 53 2018/08/14

= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

Interfaz GigabitEthernet1/0 / 2

Ruta MTU: 1500

= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

 

"-----------------------------"

Nombre de directiva IPsec: ipsec08072018

Número de secuencia: 1

Modo: ISAKMP

VPN: Público

-----------------------------.

ID de conexión: 611

Número de regla: 35

Modo de encapsulamiento: Túnel

Tiempo de espera: 50 0d 0h 1m

Túnel local: 1.2.54.226 túnel remoto: 3.4.221.17

Fuente de flujo: 192.168.0.0/255.255.0.0 0/0

Destino de flujo: 11.0.0.0/255.0.0.0 0/0

 

[Enbound ESP SAS]

SPI: 1915536948 (0x722cc634)

VPN: Public said: 228 CPUID: 0x0000

Propuesta ESP-ENCRYPT-256-AES ESP-AUTH-SHA1

Duración de la clave restante (kilobytes/seg.): 4608000/3490

Max received sequence-number: 1

Encapsulación UDP utilizada para nat traversal: Y

 

[Outbound ESP SAS]

SPI: 1390740150 (0x52e502b6)

VPN: Public said: 229 CPUID: 0x0000

Propuesta ESP-ENCRYPT-256-AES ESP-AUTH-SHA1

Duración de la clave restante (kilobytes/seg): 4608000/3490

Max sent sequence-number: 1

Encapsulación UDP utilizada para nat traversal: Y

2. Use la dirección IP local en el firewall ping privado ip y verifique la sesión.

 

[USG6300] ping -a 192.168.44.254 172.16.239.197

11:44: 20 2018/08/14

Ping 172.16.239.197: 56 bytes de datos, presione CTRL _ C para romper

Respuesta de 172.16.239.197: Tiempo bytes = 56 Sequence = 1 ttl = 255 = 60 ms

Respuesta de 172.16.239.197: Tiempo bytes = 56 Sequence = 2 ttl = 255 = 60 ms

Respuesta de 172.16.239.197: Tiempo de bytes = 56 Sequence = 3 ttl = 255 = 60 ms

Respuesta de 172.16.239.197: Tiempo bytes = 56 Sequence = 4 ttl = 255 = 60 ms

Respuesta de 172.16.239.197: Tiempo de bytes = 56 Sequence = 5 ttl = 255 = 60 ms

 

---172.16.239.197 ping statistics ---

5 paquetes transmitidos

5 paquetes recibidos

0,00% de pérdida de paquetes

Viaje de ida y vuelta min/avg/max = 60/60/60 ms

 

[Destino USG6300] display firewall session table verbose global 172.16.239.197

11:46: 54 2018/08/14

Sesiones totales actuales: 1

ICMP VPN: Public --> Public ID: A48f40165ee087e0c5b72c128

Zona: Local--> no confianza TTL: 00:00: 20 izquierda: 00:00: 17

Salida-interfaz GigabitEthernet1/0 / 2 NextHop: 172.16.239.197 Mac: 00-00-00-00-00-00

< --packets: "5 bytes": 420 --> "packets": 5 bytes: 420

"192.168.44.254": 44157--> "192.168.239.197": "2048 PolicyName": Firewall _ AV _ "Update"

 

3. Use one client ping peer private IP and check the session table,

 

[Destino USG6300] display firewall session table verbose global 172.16.239.197

11:48: 22 2018/08/14

Sesiones totales actuales: 1

ICMP VPN: Public --> public ID: A58f4037e1548432375b72c185

Zona: Confianza -> no confianza TTL: 00:00: 20 izquierda: 00:00: 19

Salida-interfaz: GigabitEthernet1/0 / 2 NextHop: 172.16.239.197 MAC: AA-bb-cc-dd-38-01

< --packets: "0 bytes": 0 --> "packets": 1 bytes: 60 "/" / podemos ver que sólo hay paquetes de envío, pero no hay mensaje de respuesta icmp.

192.168.44.168: 1 [172.16.54.231: 2092] --> 172.16.239.197: 2048 PolicyName: Policy _ ipsec _ 1

 

4. Podemos ver que el tráfico privado de ipsec coincide con la política nat, por lo que no puede pasar por el túnel de Ipsec.

 

Root Cause

 

IPsec protege el tráfico privado golpeó la política de nat, por lo que no puede pasar por el túnel de Ipsec.

 

Solución

 

Cree una política de nat y mueva a la parte superior.

 

NAT-policy

Nombre de regla nat _ vpn / / mover esta regla superior de la política nat

Confianza de zona de origen

Desconfianza de zona de destino

Dirección de origen 192.168.0.0 16

Dirección de destino 10.0.0.0 8

Acción no-nat


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba