IPSEC VPN pourrait établir un tunnel, mais une extrémité ne peut pas pinger un autre

publié il y a  2019-5-22 11:04:30Dernière réponse jul. 14, 2019 08:09:21 138 5 8 1
  F-coins comme récompense: 0 (Non résolu)

Établir le VPN IPSEC entre l'USG5100 du headquarters et l'usg2110 branch, le branch peut pinger le headquarters avec succès mais quand le tunnel a été établi, the headquarters ne peut pinger the branch. la version du USG est V100R005SPC300.

Aucune informations d'alarme.


  • x
  • Standard:

Réponses en vedette
Gladiator
Admin publié il y a 2019-7-14 08:09:21 Utile(1) Utile(1)
Processus de manipulation
1. Il n'y a pas de problème d'interface switch sur USG5100 et nous n'avons pas configurer NAT sur périphérique, il n'y a pas de problème sur d'autres configurations.
2. Le réseau interne du Headquarters ping le réseau interne du Branch, vérifiez la conversation sur le périphérique USG, comme suit :
[USG5100]disp firewall session table
09:46:20 2011/09/10
Current Total Sessions : 9
esp VPN:public --> public 123.233.206.111:0-->124.133.249.10:0
tcp VPN:public --> public 192.168.10.33:1058-->192.168.1.112:3389
icmp VPN:public --> public 192.168.1.112:1024[124.133.244.10:1024]-->192.168.10.1:2048
netbios-data VPN:public --> public 192.168.1.112:138[124.133.244.10:138]-->192.168.1.255:138
Nous trouvons que la conversation est traduite par NAT, mais il n'y a pas de direction Outband NAT sur la configuration USG5100, et cette adresse ne peut pas accéder au net externe.
3. Configurez la configuration de nouveau et trouvez une carte que certains utilisateurs font :
nat server 0 protocol tcp global 124.133.244.10 3389 inside 192.168.1.112 3389
Essayez d'ajouter non-reverse après cette configuration, puis pinger l'adresse interne à nouveau, accédez avec succès. C'est parce que le flux de données IPSEC correspond à la conversation opposée du serveur nat.
Cause racine
1. Problème Problem du commutateur d'interface.
2. Direction Outbound direction NAT reçoit le flux de données d'intérêt.
3. Autres.
Solution
Suggestions
Aucun
  • x
  • Standard:

Toutes les réponses
Marwen
Marwen Modérateur publié il y a 2019-5-22 11:16:07 Utile(1) Utile(1)
Processus de manipulation
1. Il n'y a pas de problème d'interface switch sur USG5100 et nous n'avons pas configurer NAT sur périphérique, il n'y a pas de problème sur d'autres configurations.
2. Le réseau interne du Headquarters ping le réseau interne du Branch, vérifiez la conversation sur le périphérique USG, comme suit :
[USG5100]disp firewall session table
09:46:20 2011/09/10
Current Total Sessions : 9
esp VPN:public --> public 123.233.206.111:0-->124.133.249.10:0
tcp VPN:public --> public 192.168.10.33:1058-->192.168.1.112:3389
icmp VPN:public --> public 192.168.1.112:1024[124.133.244.10:1024]-->192.168.10.1:2048
netbios-data VPN:public --> public 192.168.1.112:138[124.133.244.10:138]-->192.168.1.255:138
Nous trouvons que la conversation est traduite par NAT, mais il n'y a pas de direction Outband NAT sur la configuration USG5100, et cette adresse ne peut pas accéder au net externe.
3. Configurez la configuration de nouveau et trouvez une carte que certains utilisateurs font :
nat server 0 protocol tcp global 124.133.244.10 3389 inside 192.168.1.112 3389
Essayez d'ajouter non-reverse après cette configuration, puis pinger l'adresse interne à nouveau, accédez avec succès. C'est parce que le flux de données IPSEC correspond à la conversation opposée du serveur nat.
Cause racine
1. Problème Problem du commutateur d'interface.
2. Direction Outbound direction NAT reçoit le flux de données d'intérêt.
3. Autres.
Solution
Suggestions
Aucun
  • x
  • Standard:

Marwen
Marwen Modérateur publié il y a 2019-5-22 11:16:30 Utile(1) Utile(1)
N'ajoutez no nat policy à l'endroit où le trafic d'un LAN local à un LAN éloigné n'est pas NAT.
Ajouter la politique à l'interface WAN
  • x
  • Standard:

fuhai1680
fuhai1680 Admin publié il y a 2019-5-27 15:59:11 Utile(1) Utile(1)
I think you should up grade the sofeware
  • x
  • Standard:

Marwen
Marwen publié il y a 2019-5-28 09:55
merci  
Gladiator
Gladiator Admin publié il y a 2019-7-14 08:09:21 Utile(1) Utile(1)
Processus de manipulation
1. Il n'y a pas de problème d'interface switch sur USG5100 et nous n'avons pas configurer NAT sur périphérique, il n'y a pas de problème sur d'autres configurations.
2. Le réseau interne du Headquarters ping le réseau interne du Branch, vérifiez la conversation sur le périphérique USG, comme suit :
[USG5100]disp firewall session table
09:46:20 2011/09/10
Current Total Sessions : 9
esp VPN:public --> public 123.233.206.111:0-->124.133.249.10:0
tcp VPN:public --> public 192.168.10.33:1058-->192.168.1.112:3389
icmp VPN:public --> public 192.168.1.112:1024[124.133.244.10:1024]-->192.168.10.1:2048
netbios-data VPN:public --> public 192.168.1.112:138[124.133.244.10:138]-->192.168.1.255:138
Nous trouvons que la conversation est traduite par NAT, mais il n'y a pas de direction Outband NAT sur la configuration USG5100, et cette adresse ne peut pas accéder au net externe.
3. Configurez la configuration de nouveau et trouvez une carte que certains utilisateurs font :
nat server 0 protocol tcp global 124.133.244.10 3389 inside 192.168.1.112 3389
Essayez d'ajouter non-reverse après cette configuration, puis pinger l'adresse interne à nouveau, accédez avec succès. C'est parce que le flux de données IPSEC correspond à la conversation opposée du serveur nat.
Cause racine
1. Problème Problem du commutateur d'interface.
2. Direction Outbound direction NAT reçoit le flux de données d'intérêt.
3. Autres.
Solution
Suggestions
Aucun
  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier