Клиент SSL VPN не может получить доступ к внутренней сети

Опубликовано 2019-8-2 14:22:24 22 0 0 0

Описание проблемы

Клиент SSL VPN не может получить доступ к внутренней сети, и они блокированы USG как злоумышленник.

Аварийная информация

Nov 27 2017 16:55:57+08:00 WGN_FW1%ATK/4/FIREWALLATCK(l)[0]:AttackType="IP spoof attack", slot="y",cpu="0", receive interface="GE1/0/x ", proto="UDP", src="172.x.x.53:54065 ", dst="y.y.y.y:53 ", begin time="2017-11-27 11:55", end time="2017-11-27 11:55", total packets="10", max speed="0", User="", Action="discard".

Процесс обработки

1. После проверки конфигурации обнаружено, что у Вас в системе сконфигурирован IP-адрес SSL VPN клиента как 172.x.x.51-172.x.x.100, а IP-сегмент LAN на 172.x.x.0/24. А на самом деле трафик SSL VPN происходит из G1/0/x (untrust), и IP-сегмент LAN находится в G1/0/y (trust). При конфигурировании "firewall defend ip-spoofing enable" брандмауэр проверит исходный маршрут и определит SSL VPN трафик как IP-спуфинг, затем отбросит пакеты.

firewall defend ip-spoofing enable
#
service
network-extension netpool 172.x.x.51 172.x.x.100 255.255.255.0
#
interface GigabitEthernet1/0/y
ip address 172.x.x.251 255.255.255.0
#
firewall zone trust
add interface GigabitEthernet1/0/y
#
firewall zone untrust
add interface GigabitEthernet1/0/x

2. При проверке журналов и обнаружено, что трафик клиентов SSL VPN под контролем IP-спуфинга и заблокирован как злоумышленник.

Корневая причина

В системе сконфигурирован параметр "firewall defend ip-spoofing enable", но IP-адрес клиента SSL VPN совпадает с адресом LAN IP-сегмента.

Решение

Для решения данного вопроса представлены два способа:

Способ 1: выполните команду undo firewall defend ip-spoofing enable

Способ 2: настройте другой Ip-сегмент для клиента SSL VPN и сконфигурируйте маршрут от внутреннего сети к клиенту SSL VPN.

Для предприятий

Для потребителей

Корпоративный сайт

Для операторов

Клиент SSL VPN не может получить доступ к внутренней сети

Коммерческая тайна третьего лица