[Série de dépannage] Cas 24 Les utilisateurs ne peuvent pas aller en ligne

73 0 0 0

Topologie de réseau physique

101456th2w7lttgvha7ggs.png

 

Description du défaut

Échec de l'envoi d'une requête ping au FW3 avec l'adresse IP 1.1.2.1.

Fichiers de configuration

l    FW1

acl number 3000 
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 
acl number 3333 
 rule 5 permit icmp 

ipsec proposal p1 
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-256 

ike proposal 1 
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha2-256 
 authentication-method pre-share 
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256                         

ike peer b 
 undo version 2 
 pre-shared-key %^%#Z$pF2wqe9V.VP5V>P,qLJ:R^)="-W28~N9!LWE!3%^%# 
 ike-proposal 1 
 remote-address 192.168.101.1 

ipsec policy map1 10 isakmp 
 security acl 3000 
 ike-peer b 
 proposal p1 
 sa trigger-mode auto 

firewall zone trust 
 set priority 85 
 add interface GigabitEthernet0/0/0 
 add interface GigabitEthernet1/0/0 

firewall zone dmz 
 set priority 50 
 add interface GigabitEthernet1/0/7 

ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 
ip route-static 3.3.3.0 255.255.255.0 2.2.2.2 
          

security-policy 
 default action permit 
 rule name trust_to_local 
  source-zone trust 
  destination-zone local 
  action permit 
 rule name local_to_trust 
  source-zone local 
  destination-zone trust 
  action permit 
 rule name untrust_to_local 
  source-zone untrust 
  destination-zone local 
  action permit 
 rule name local_to_untrust 
  source-zone local 
  destination-zone untrust 
  action permit 

l    FW2

acl number 3000 
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 
acl number 3333 

ipsec proposal p1 
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-256 

ike proposal 1 
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha2-256 
 authentication-method pre-share 
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 

ike peer b 
 undo version 2 
 pre-shared-key %^%#Z$pF2wqe9V.VP5V>P,qLJ:R^)="-W28~N9!LWE!3%^%# 
 ike-proposal 1 
 remote-address 192.168.101.1 

ipsec policy map1 10 isakmp 
 security acl 3000 
 ike-peer b 
 proposal p1 
 sa trigger-mode auto 

interface GigabitEthernet1/0/0 
 undo shutdown 
 ip address 2.2.2.2 255.255.255.0 
 service-manage ping permit 
 redirect-reverse next-hop 2.2.2.1 
#
interface GigabitEthernet1/0/7 
 undo shutdown 
 ip address 3.3.3.2 255.255.255.0 
 service-manage ping permit 
 redirect-reverse next-hop 3.3.3.1 

interface GigabitEthernet1/0/8 
 undo shutdown 
 lldp enable 
 lldp tlv-enable basic-tlv all 
#
firewall zone trust 
 set priority 85 
 add interface GigabitEthernet0/0/0 
 add interface GigabitEthernet1/0/0 

firewall zone dmz 
 set priority 50 
 add interface GigabitEthernet1/0/7 

ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 
ip route-static 1.1.2.0 255.255.255.0 2.2.2.1 
#                                         
 nat server dc1_dc2 0 global 5.5.5.1 inside 1.1.1.1 no-reverse 
#
security-policy 
 rule name untrust_to_local 
  source-zone untrust 
  destination-zone local 
  action permit 
 rule name trust_to_local 
  source-zone trust 
  destination-zone local 
  action permit 
 rule name local_to_trust 
  source-zone local 
  destination-zone trust 
  action permit 
 rule name local_to_untrust 
  source-zone local 
  destination-zone untrust 
  action deny 

auth-policy                                
 rule name auth_policy 
  source-zone trust 
  destination-zone dmz 
  source-address 1.1.0.0 mask 255.255.0.0 
  action auth 
 rule name no_auth_policy 
  source-zone trust 
  destination-zone dmz 
  source-address 1.1.2.0 mask 255.255.255.0 
  action none 

traffic-policy 

policy-based-route 
 rule name dc1_to_dc2 
  source-zone trust 
  destination-address 1.1.0.0 mask 255.255.0.0 
  action pbr next-hop 3.3.3.1 
 rule name dc2_to_dc1 
  source-zone trust 
  source-zone dmz 
  destination-address 1.1.0.0 mask 255.255.0.0 
  action pbr next-hop 2.2.2.1 
#                                          
nat-policy 
 rule name no_nat 
  egress-interface GigabitEthernet1/0/0 
  source-address 10.1.1.0 mask 255.255.255.0 
  action no-nat 
 rule name nat_policy 
  destination-zone untrust 
  source-address 10.1.1.0 mask 255.255.255.0 
  destination-address 10.1.2.0 mask 255.255.255.0 
  action nat easy-ip 
 rule name test 
  destination-zone dmz 
  destination-address 1.1.1.1 mask 255.255.255.255 
  action nat easy-ip 
#

l    FW3

acl number 3000 
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 

ipsec proposal p1                          
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-256 

ike proposal 1 
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha2-256 
 authentication-method pre-share 
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 

ike peer b 
 undo version 2 
 pre-shared-key %^%#OZ2Q@cbWlRZ8XTJKqc8,q^dT6kP^82qBDz)Cbx_H%^%# 
 ike-proposal 1 
 remote-address 192.168.8.1 

ipsec policy map1 10 isakmp 
 security acl 3000 
 ike-peer b 
 proposal p1 
 sa trigger-mode auto 

firewall zone trust 
 set priority 85 
 add interface GigabitEthernet0/0/0 

firewall zone untrust 
 set priority 5 
 add interface GigabitEthernet1/0/7 
 add interface GigabitEthernet1/0/4 

ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 
ip route-static 1.1.2.0 255.255.255.0 3.3.3.2 

security-policy 
 default action permit 
 rule name trust_to_local 
  source-zone trust 
  destination-zone local 
  action permit 
 rule name local_to_trust 
  source-zone local 
  destination-zone trust 
  action permit 
#

Procédure de dépannage

                               Étape 1       Vérifiez les détails de la table de session sur le FW_2.

[R5U22-USG6600] display firewall session table verbose source inside 1.1.2.1 
2018-01-07 16:59.990 
   Current Total Sessions : 0

                               Étape 2       Configurez les statistiques de trafic pour confirmer pourquoi la session n'a pas été établie.

[R5U22-USG6600] diagnose 
[R5U22-USG6600-diagnose] display firewall statistics acl 
...                                                                                                                    
******************************************************************************** 
*              Detailed information of ACL-based packet statistics             * 
******************************************************************************** 
 Protocol(ICMP) SourceIp(1.1.2.1) DestinationIp(3.3.3.1)                        
 SourcePort(44038) DestinationPort(2048) VpnIndex(public)                           
                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag         
 Obverse(pkts) : 5           0           2           5           0               
 Reverse(pkts) : 0           0           1           0           0               
 Discard detail information:    
  UM process fail packets discarded:     5 
 
 ICMP packet detail information: 
  ICMP_ECHO                        :  5

Confirmez que la perte de paquets est gérée pour l'utilisateur pour auth-policy.

                               Étape 3       Vérifiez la configuration de auth-policy.


auth-policy                                
 rule name auth_policy 
  source-zone trust 
  destination-zone dmz 
  source-address 1.1.0.0 mask 255.255.0.0 
  action auth 
 rule name no_auth_policy 
  source-zone trust 
  destination-zone dmz 
  source-address 1.1.2.0 mask 255.255.255.0 
  action none

Vérifiez que le segment de réseau du segment de réseau d'authentification comprend le segment de réseau 1.1.2.1/24.

Remarque

Une stratégie d'authentification est un ensemble de règles d'authentification. Un micrologiciel fait correspondre les paquets avec plusieurs règles d'authentification de haut en bas. Si les attributs d'un paquet correspondent à toutes les conditions d'une règle d'authentification, la règle est correctement mise en correspondance et le micrologiciel ne correspond pas au paquet avec d'autres règles.

Solution: déplace la règle no_auth_policy pour modifier la priorité de la règle de stratégie d'authentification.

[R5U22-USG6600] auth-policy  
[R5U22-USG6600-policy-auth] rule move no_auth_policy before auth_policy

Effectuez à nouveau le test ping et vérifiez la table de session.

Il est possible de constater qu’il n’ya pas de table de session, puis configurez les statistiques de trafic pour savoir pourquoi la session n’a pas été établie.

                               Étape 4       Configurez les statistiques de trafic pour confirmer pourquoi la session n'a pas été établie.

[R5U22-USG6600] diagnose 
[R5U22-USG6600-diagnose] display firewall statistics acl 
...                                                                                                                    
******************************************************************************** 
*              Detailed information of ACL-based packet statistics             * 
******************************************************************************** 
 Protocol(ICMP) SourceIp(1.1.2.1) DestinationIp(3.3.3.1)                        
 SourcePort(44038) DestinationPort(2048) VpnIndex(public)                           
                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag         
 Obverse(pkts) : 19           0           0           19           0               
 Reverse(pkts) : 0            0           0           0           0               
 Discard detail information:    
  Packet default filter packets discarded:     19 
 
 ICMP packet detail information: 
  ICMP_ECHO                        :  19

Solution: configure l'action dans la règle de politique de sécurité selon laquelle le trafic mis en correspondance est autorisé.

[R5U22-USG6600] security-policy 
[R5U22-USG6600-policy-security] rule name local_to_untrust 
[R5U22-USG6600-policy-security-rule-local_to_untrust] action permit

Racine Cause

La stratégie d'authentification n'a pas été configurée correctement et la stratégie de sécurité n'a pas été publiée.


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier