j'ai compris

Échec d'accès au service IPSec

publié il y a  2021-1-18 12:27:59 167 0 0 0 0

Salut,

Je vais partager avec vous un cas sur IPsec et le serveur NAT / statique.

Description du problème

Le tunnel VPN IPSec est établi entre un AR1220S et le périphérique pair. Une fois le tunnel établi, l'adresse IP intranet peut envoyer une requête ping à 192.168.14.10 à partir de 192.168.9.253, mais le telnet 192.168.14.10 à partir de 192.168.9.253 échoue.

Topologie du réseau:

192.168.14.10 --- Appareil homologue ------ Internet ------- AR1220S --- 192.168.9.253 

Processus de traitement

1. Le flux de données IPSec peut être soumis à une requête ping. On soupçonne que les paquets de service correspondants ne sont pas transmis via le tunnel IPSec. Exécutez la commande display ipsec statistics esp sur l'AR2220-S. Il n'y a pas de statistiques de paquets pendant le test Telnet, mais le nombre de paquets augmente pendant le test ping.

2. Le terminal dont l'IP est 192.168.9.253 est connecté à E0 / 0/1. Connectez un ordinateur à E0 / 0/2 et configurez E0 / 0/2 comme port d'observation et E0 / 0/1 comme port en miroir. Capturez les paquets et découvrez que les paquets telnet existent.

3. Collectez les statistiques de trafic de telnet sur le routeur comme suit:

Interface: Vlanif1

Traffic policy inbound: a

Rule number: 1

Current status: OK!

Item                    Sum(Packets/Bytes)               Rate(pps/bps)

------------------------------------------------------------------------------

Matched 1/90 1/96

Passed 1/90 1/96

Dropped 0/0 0/0

Filter 0/0 0/0

CAR 0/0 0/0

Queue Matched 0/0 0/0

Enqueued 0/0 0/0

Discarded 0/0 0/0

CAR 0/0 0/0

Green packets 0/0 0/0

Yellow packets 0/0 0/0

Red packets 0/0 0/0


4. La sortie de la commande display ipsec statistic esp indique qu'aucun paquet n'est capturé.

[1]dis ipsec statistics esp

Inpacket count: 0

Inpacket auth count: 0

Inpacket decap count: 0

Outpacket count: 0

Outpacket auth count: 0

Outpacket encap count: 0

Inpacket drop count: 0

Outpacket drop count: 0

BadAuthLen count: 0

AuthFail count: 0

InSAAclCheckFail count: 0

PktDuplicateDrop count: 0

PktSeqNoTooSmallDrop count: 0

PktInSAMissDrop count     : 0


Les informations précédentes indiquent que l'AR1220 reçoit les paquets Telnet de 192.168.9.253, mais ne les transfère pas via le cryptage IPSec. On soupçonne que le périphérique effectue le cryptage IPsec sur les paquets ICMP et transfère les paquets non ICMP dans d'autres processus.

5. Vérifiez la configuration. On constate que les deux segments de réseau LAN ne sont pas autorisés à accéder l'un à l'autre dans la configuration nat

acl number 3000

rule 5 deny ip source 192.168.9.0 0.0.0.255 destination 192.168.14.0 0.0.0.255

rule 10 permit ip

6. Vérifiez la configuration de l'interface. On constate que 192.168.9.253 est configuré comme IP interne du serveur NAT. 

interface GigabitEthernet0 / 0/0

tcp adjust-mss 1200

ip address 172.XX.20.10 255.255.255.0

nat server protocol tcp global current-interface 8080 inside 192.168.9.253 8080

nat outbound 3000

ipsec policy center_vpn


Vérifiez la session NAT de l'adresse IP. On constate que l'adresse source des paquets de données est traduite en adresse IP publique lorsque 192.168.9.253 accède à l'adresse IP du pair.

 ipsec

7. Changez le serveur NAT en nat statique et testez à nouveau le Telnet.

nat static protocol tcp global current-interface 8080 inside 192.168.9.253 8080

Cause première

Le serveur NAT a configuré sur l'interface sortante.

Lorsque la commande nat server est utilisée, l'IP source des paquets TCP envoyés à partir de 192.168.9.253 est convertie en adresse IP globale (IP d'interface). Par conséquent, les paquets traduits ne peuvent pas entrer dans le tunnel IPSec. Une fois le serveur nat changé en nat statique, les services sont normaux. NAT statique est effectué uniquement sur les paquets dont l'adresse IP source est 192.168.9.253 et le port TCP est 8080. Par conséquent, la route est normale après la modification de la statique nat.

Reportez-vous à: https://support.huawei.com/hedex/hdx.do?docid=EDOC1100007335&id=dc_s_faq_000097_2&lang=en

Pour l'accès du réseau public au réseau privé, le serveur NAT et les modes statiques NAT sont les mêmes. Pour l'accès du réseau privé au réseau public, le mode serveur NAT ne traduit que l'adresse IP, tandis que le mode statique NAT traduit à la fois l'adresse IP et le port.


J'espère que ça aide.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.