j'ai compris

[Dépannage] Connectivité unidirectionnelle IPSec

publié il y a  2022-6-29 11:59:26 48 0 0 0 0

[Dépannage] Connectivité unidirectionnelle IPSec


Description du problème

Le client établit un VPN IPSec entre les deux pare-feux, et après le test, il s'avère que l'utilisateur R3 sous FW2 peut envoyer un ping via l'utilisateur R2 sous FW1, mais pas l'inverse.


ipsec unidirectionnel

Figure 1. Topologie pour le VPN IPSec unidirectionnel


Localisation du défaut

  1. Vérifiez l'IKE SA et l'IPSec SA sur le FW1. Le résultat est normal.


    ipsec unidirectionnel


  2. Ping sur le R2 au R3, et vérifiez la table de session sur le FW1 pour confirmer si le FW1 rejette le trafic.


    ipsec unidirectionnel


    Le résultat montre que le trafic de R2 vers R3 (10.1.21.2:53675 --> 10.1.22.2:2048) n'est pas rejeté sur le pare-feu. Et le trafic privé est transmis directement à Internet sans NAT.


  3. Vérifiez la configuration de l'interface g1/0/1.


    ipsec unidirectionnel


    Il n'y a pas de configuration de politique IPSec sous cette interface


  4. Le VPN IPSec entre FW1 et FW2 étant correctement établi, la configuration de la politique IPSec n'est pas appliquée sous l'interface g1/0/1. Vérifiez la configuration de l'interface g1/0/0.



    ipsec unidirectionnel


    Le VPN IPSec est appliqué sous l'interface g1/0/0.


  5. Vérifiez la table de routage sur le FW1 et constatez qu'il existe deux routes par défaut sur le pare-feu et que le trafic de R2 à R3 est haché vers l'interface g1/0/1, tandis que le VPN IPSec est établi sur l'interface g1/0/ 0.


Cause racine et solution

Le trafic est haché vers la connexion et la politique IPSec n'est pas implémentée.

Configurez une route statique sur FW1 pour spécifier le prochain saut vers le R3 vers 10.1.11.2 explicite afin que le trafic soit transféré via l'interface g1/0/0.


N'hésitez pas à laisser un message et à échanger dans l'espace commentaire !


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.