Hola. A continuación les presento un caso en el que un usuario tiene problemas para utilizar los servicios de un servidor en un segmento de red privada utilizando una conexión de una red pública.
Descripción del Problema.
La red interna del cliente tiene muchos conjuntos de servidores WEB, luego de configurar la asignación de direcciones NAT en el firewall, uno de ellos en la red externa puede a través del acceso IP de la red pública al conectarse al servicio WEB, en la red interna puede a través de la IP de la red privada tener acceso al servicio WEB, en la red interna, no puede a través de la red pública IP acceder al servicio WEB. Los otros servidores todos acceden normalmente, En la figura 1 la topología de la red.
Figura 1. Topología de la red.
Proceso de manejo del problema.
1. Prohibir la otra NIC (192.168.18.X / 24) del servidor WEB, puede resolverlo.
2. Si no puede prohibir la otra NIC, configure la conversión de NAT de dirección de salida entre el dominio TRUST y DMZ. Después de la configuración, el servidor devolverá al firewall y luego la devolverá a la PC. Las configuraciones son las siguientes:
Configure address pool:
[USG5310]nat address-group 5 172.16.80.1 172.16.80.1
Configure NAT policy:
[USG5310]nat-policy interzone trust dmz outbound
[USG5310-nat-policy-interzone-trust-dmz-outbound]policy 0
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]action source-nat
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]policy source 192.168.18.0 0.0.0.255
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]address-group 5
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]
Causa Raíz del Problema.
Debido a que el servidor WEB del cliente es NIC doble, y la dirección IP de la otra NIC está en el mismo segmento de red con la PC de la red de la oficina. Los clientes ya han cerrado la función de estado de sesión de enlace en el firewall, la PC usa el servicio WEB de acceso a la dirección de la red privada, hay sesión en el firewall, el servidor directamente desde el intercambio interno a la PC cuando responde el paquete de solicitud de servicio. Después de abrir la función de estado de la sesión de enlace, no se puede acceder al uso de la red privada. Cuando se accede a través de la dirección de red pública, el servidor utiliza directamente la dirección de red privada para devolver el paquete, la PC descartará el paquete devuelto, lo que llevará a un acceso sin éxito.
FIN
Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums
#OneHuawei