Клиент SSL VPN не может получить доступ к внутренней сети

10 0 0 0

Описание проблемы

Клиент SSL VPN не может получить доступ к внутренней сети, и они блокированы USG как злоумышленник.

 

Аварийная информация

Nov 27 2017 16:55:57+08:00 WGN_FW1%ATK/4/FIREWALLATCK(l)[0]:AttackType="IP spoof attack", slot="y",cpu="0", receive interface="GE1/0/x ", proto="UDP", src="172.x.x.53:54065 ", dst="y.y.y.y:53 ", begin time="2017-11-27 11:55", end time="2017-11-27 11:55", total packets="10", max speed="0", User="", Action="discard".

 

Процесс обработки

1.   После проверки конфигурации обнаружено, что у Вас в системе сконфигурирован IP-адрес SSL VPN клиента как 172.x.x.51-172.x.x.100, а IP-сегмент LAN на 172.x.x.0/24. А на самом деле трафик SSL VPN происходит из G1/0/x (untrust), и IP-сегмент LAN находится в G1/0/y (trust). При конфигурировании "firewall defend ip-spoofing enable" брандмауэр проверит исходный маршрут и определит SSL VPN трафик как IP-спуфинг, затем отбросит пакеты.

 

firewall defend ip-spoofing enable
#
service
  network-extension netpool 172.x.x.51 172.x.x.100 255.255.255.0
#
interface GigabitEthernet1/0/y
  ip address 172.x.x.251 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/y
#
firewall zone untrust
 add interface GigabitEthernet1/0/x

 

2.   При проверке журналов и обнаружено, что трафик клиентов SSL VPN под контролем IP-спуфинга и заблокирован как злоумышленник.

Nov 27 2017 16:55:57+08:00 WGN_FW1%ATK/4/FIREWALLATCK(l)[0]:AttackType="IP spoof attack", slot="y",cpu="0", receive interface="GE1/0/x ", proto="UDP", src="172.x.x.53:54065 ", dst="y.y.y.y:53 ", begin time="2017-11-27 11:55", end time="2017-11-27 11:55", total packets="10", max speed="0", User="", Action="discard".

 

Корневая причина

В системе сконфигурирован параметр "firewall defend ip-spoofing enable", но IP-адрес клиента SSL VPN совпадает с адресом LAN IP-сегмента.

 

Решение

Для решения данного вопроса представлены два способа:

Способ 1: выполните команду undo firewall defend ip-spoofing enable

Способ 2: настройте другой Ip-сегмент для клиента SSL VPN и сконфигурируйте маршрут от внутреннего сети к клиенту SSL VPN.


  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход
Быстрый ответ Вверх