Описание проблемы
Клиент SSL VPN не может получить доступ к внутренней сети, и они блокированы USG как злоумышленник.
Аварийная информация
Nov 27 2017 16:55:57+08:00 WGN_FW1%ATK/4/FIREWALLATCK(l)[0]:AttackType="IP spoof attack", slot="y",cpu="0", receive interface="GE1/0/x ", proto="UDP", src="172.x.x.53:54065 ", dst="y.y.y.y:53 ", begin time="2017-11-27 11:55", end time="2017-11-27 11:55", total packets="10", max speed="0", User="", Action="discard".
Процесс обработки
1. После проверки конфигурации обнаружено, что у Вас в системе сконфигурирован IP-адрес SSL VPN клиента как 172.x.x.51-172.x.x.100, а IP-сегмент LAN на 172.x.x.0/24. А на самом деле трафик SSL VPN происходит из G1/0/x (untrust), и IP-сегмент LAN находится в G1/0/y (trust). При конфигурировании "firewall defend ip-spoofing enable" брандмауэр проверит исходный маршрут и определит SSL VPN трафик как IP-спуфинг, затем отбросит пакеты.
firewall
defend ip-spoofing enable
#
service
network-extension netpool 172.x.x.51 172.x.x.100 255.255.255.0
#
interface GigabitEthernet1/0/y
ip address 172.x.x.251 255.255.255.0
#
firewall zone trust
add interface GigabitEthernet1/0/y
#
firewall zone untrust
add interface GigabitEthernet1/0/x
2. При проверке журналов и обнаружено, что трафик клиентов SSL VPN под контролем IP-спуфинга и заблокирован как злоумышленник.
Nov 27 2017 16:55:57+08:00 WGN_FW1%ATK/4/FIREWALLATCK(l)[0]:AttackType="IP spoof attack", slot="y",cpu="0", receive interface="GE1/0/x ", proto="UDP", src="172.x.x.53:54065 ", dst="y.y.y.y:53 ", begin time="2017-11-27 11:55", end time="2017-11-27 11:55", total packets="10", max speed="0", User="", Action="discard".
Корневая причина
В системе сконфигурирован параметр "firewall defend ip-spoofing enable", но IP-адрес клиента SSL VPN совпадает с адресом LAN IP-сегмента.
Решение
Для решения данного вопроса представлены два способа:
Способ 1: выполните команду undo firewall defend ip-spoofing enable
Способ 2: настройте другой Ip-сегмент для клиента SSL VPN и сконфигурируйте маршрут от внутреннего сети к клиенту SSL VPN.