j'ai compris
Communauté de Support de Huawei Entreprise
Communauté Forums Sécurité
IPSEC VPN pourrait établ...

IPSEC VPN pourrait établir un tunnel, mais une extrémité ne peut pas pinger un autre

publié il y a  2019-5-22 11:04:30Dernière réponse jul. 14, 2019 08:09:21 432 5 8 0 1
  F-coins comme récompense: 0 (Non résolu)
Tout afficher 1#

Établir le VPN IPSEC entre l'USG5100 du headquarters et l'usg2110 branch, le branch peut pinger le headquarters avec succès mais quand le tunnel a été établi, the headquarters ne peut pinger the branch. la version du USG est V100R005SPC300.

Aucune informations d'alarme.


  • x
  • Standard:

Aime (8) N'aime pas (0) Favoris(1) Partager Rapport
Précédent: VPN Ipsec entre Huawei et Cisco
Prochain: En raison de la limitation de Mac, le S2700 ne peut pas apprendre l'adresse MAC
Réponses en vedette

Réponse recommandée

(1) (0)
Gladiator
Admin publié il y a 2019-7-14 08:09:21
Processus de manipulation
1. Il n'y a pas de problème d'interface switch sur USG5100 et nous n'avons pas configurer NAT sur périphérique, il n'y a pas de problème sur d'autres configurations.
2. Le réseau interne du Headquarters ping le réseau interne du Branch, vérifiez la conversation sur le périphérique USG, comme suit :
[USG5100]disp firewall session table
09:46:20 2011/09/10
Current Total Sessions : 9
esp VPN:public --> public 123.233.206.111:0-->124.133.249.10:0
tcp VPN:public --> public 192.168.10.33:1058-->192.168.1.112:3389
icmp VPN:public --> public 192.168.1.112:1024[124.133.244.10:1024]-->192.168.10.1:2048
netbios-data VPN:public --> public 192.168.1.112:138[124.133.244.10:138]-->192.168.1.255:138
Nous trouvons que la conversation est traduite par NAT, mais il n'y a pas de direction Outband NAT sur la configuration USG5100, et cette adresse ne peut pas accéder au net externe.
3. Configurez la configuration de nouveau et trouvez une carte que certains utilisateurs font :
nat server 0 protocol tcp global 124.133.244.10 3389 inside 192.168.1.112 3389
Essayez d'ajouter non-reverse après cette configuration, puis pinger l'adresse interne à nouveau, accédez avec succès. C'est parce que le flux de données IPSEC correspond à la conversation opposée du serveur nat.
Cause racine
1. Problème Problem du commutateur d'interface.
2. Direction Outbound direction NAT reçoit le flux de données d'intérêt.
3. Autres.
Solution
Suggestions
Aucun
View more
  • x
  • Standard:
Toutes les réponses
Marwen
Marwen Admin publié il y a 2019-5-22 11:16:07
Processus de manipulation
1. Il n'y a pas de problème d'interface switch sur USG5100 et nous n'avons pas configurer NAT sur périphérique, il n'y a pas de problème sur d'autres configurations.
2. Le réseau interne du Headquarters ping le réseau interne du Branch, vérifiez la conversation sur le périphérique USG, comme suit :
[USG5100]disp firewall session table
09:46:20 2011/09/10
Current Total Sessions : 9
esp VPN:public --> public 123.233.206.111:0-->124.133.249.10:0
tcp VPN:public --> public 192.168.10.33:1058-->192.168.1.112:3389
icmp VPN:public --> public 192.168.1.112:1024[124.133.244.10:1024]-->192.168.10.1:2048
netbios-data VPN:public --> public 192.168.1.112:138[124.133.244.10:138]-->192.168.1.255:138
Nous trouvons que la conversation est traduite par NAT, mais il n'y a pas de direction Outband NAT sur la configuration USG5100, et cette adresse ne peut pas accéder au net externe.
3. Configurez la configuration de nouveau et trouvez une carte que certains utilisateurs font :
nat server 0 protocol tcp global 124.133.244.10 3389 inside 192.168.1.112 3389
Essayez d'ajouter non-reverse après cette configuration, puis pinger l'adresse interne à nouveau, accédez avec succès. C'est parce que le flux de données IPSEC correspond à la conversation opposée du serveur nat.
Cause racine
1. Problème Problem du commutateur d'interface.
2. Direction Outbound direction NAT reçoit le flux de données d'intérêt.
3. Autres.
Solution
Suggestions
Aucun
View more
  • x
  • Standard:
Marwen
Marwen Admin publié il y a 2019-5-22 11:16:30
N'ajoutez no nat policy à l'endroit où le trafic d'un LAN local à un LAN éloigné n'est pas NAT.
Ajouter la politique à l'interface WAN
View more
  • x
  • Standard:
fuhai1680
fuhai1680 Admin publié il y a 2019-5-27 15:59:11
I think you should up grade the sofeware
View more
  • x
  • Standard:

Marwen
Marwen publié il y a 2019-5-28 09:55 (0) (0)
merci  
Gladiator
Gladiator Admin publié il y a 2019-7-14 08:09:21
Processus de manipulation
1. Il n'y a pas de problème d'interface switch sur USG5100 et nous n'avons pas configurer NAT sur périphérique, il n'y a pas de problème sur d'autres configurations.
2. Le réseau interne du Headquarters ping le réseau interne du Branch, vérifiez la conversation sur le périphérique USG, comme suit :
[USG5100]disp firewall session table
09:46:20 2011/09/10
Current Total Sessions : 9
esp VPN:public --> public 123.233.206.111:0-->124.133.249.10:0
tcp VPN:public --> public 192.168.10.33:1058-->192.168.1.112:3389
icmp VPN:public --> public 192.168.1.112:1024[124.133.244.10:1024]-->192.168.10.1:2048
netbios-data VPN:public --> public 192.168.1.112:138[124.133.244.10:138]-->192.168.1.255:138
Nous trouvons que la conversation est traduite par NAT, mais il n'y a pas de direction Outband NAT sur la configuration USG5100, et cette adresse ne peut pas accéder au net externe.
3. Configurez la configuration de nouveau et trouvez une carte que certains utilisateurs font :
nat server 0 protocol tcp global 124.133.244.10 3389 inside 192.168.1.112 3389
Essayez d'ajouter non-reverse après cette configuration, puis pinger l'adresse interne à nouveau, accédez avec succès. C'est parce que le flux de données IPSEC correspond à la conversation opposée du serveur nat.
Cause racine
1. Problème Problem du commutateur d'interface.
2. Direction Outbound direction NAT reçoit le flux de données d'intérêt.
3. Autres.
Solution
Suggestions
Aucun
View more
  • x
  • Standard:
Retour à la liste

Commentaire

Avancé
B Color Image Link Quote Code Smilies
Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier
Site Web Huawei Assistance À propos de Huawei Politique de confidentialité Accord utilisateur Conditions d'utilisation Cookies Préférences Cookies Formation & Certification

Contactez-nous: e_online@huawei.com Copyright © 2022 Huawei Technologies Co., Ltd. Tous droits réservés.

APP

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.