Хорошо
Huawei Россия
Сообщество Форум Коммутация и маршрутизация
Клиент SSL VPN не...

Клиент SSL VPN не может получить доступ к внутренней сети

193 0 0 0
Показать все ответы 1#

Описание проблемы

Клиент SSL VPN не может получить доступ к внутренней сети, и они блокированы USG как злоумышленник.

 

Аварийная информация

Nov 27 2017 16:55:57+08:00 WGN_FW1%ATK/4/FIREWALLATCK(l)[0]:AttackType="IP spoof attack", slot="y",cpu="0", receive interface="GE1/0/x ", proto="UDP", src="172.x.x.53:54065 ", dst="y.y.y.y:53 ", begin time="2017-11-27 11:55", end time="2017-11-27 11:55", total packets="10", max speed="0", User="", Action="discard".

 

Процесс обработки

1.   После проверки конфигурации обнаружено, что у Вас в системе сконфигурирован IP-адрес SSL VPN клиента как 172.x.x.51-172.x.x.100, а IP-сегмент LAN на 172.x.x.0/24. А на самом деле трафик SSL VPN происходит из G1/0/x (untrust), и IP-сегмент LAN находится в G1/0/y (trust). При конфигурировании "firewall defend ip-spoofing enable" брандмауэр проверит исходный маршрут и определит SSL VPN трафик как IP-спуфинг, затем отбросит пакеты.

 

firewall defend ip-spoofing enable
#
service
  network-extension netpool 172.x.x.51 172.x.x.100 255.255.255.0
#
interface GigabitEthernet1/0/y
  ip address 172.x.x.251 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/y
#
firewall zone untrust
 add interface GigabitEthernet1/0/x

 

2.   При проверке журналов и обнаружено, что трафик клиентов SSL VPN под контролем IP-спуфинга и заблокирован как злоумышленник.

Nov 27 2017 16:55:57+08:00 WGN_FW1%ATK/4/FIREWALLATCK(l)[0]:AttackType="IP spoof attack", slot="y",cpu="0", receive interface="GE1/0/x ", proto="UDP", src="172.x.x.53:54065 ", dst="y.y.y.y:53 ", begin time="2017-11-27 11:55", end time="2017-11-27 11:55", total packets="10", max speed="0", User="", Action="discard".

 

Корневая причина

В системе сконфигурирован параметр "firewall defend ip-spoofing enable", но IP-адрес клиента SSL VPN совпадает с адресом LAN IP-сегмента.

 

Решение

Для решения данного вопроса представлены два способа:

Способ 1: выполните команду undo firewall defend ip-spoofing enable

Способ 2: настройте другой Ip-сегмент для клиента SSL VPN и сконфигурируйте маршрут от внутреннего сети к клиенту SSL VPN.


  • x

Понравилось (0) Избранное(0) Поделиться Сообщить о нарушении
предыдущий: Дамп пакетов DHCP и сбор информации debug
следующий: Может ли Eth-Trunk быть сконфигурирован с IP-адресом?
К списку

Комментарий

Расширенный редактор
B Color Image Link Quote Code Smilies
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход
Веб-сайт Huawei Поддержка О компании Huawei Конфиденциальность настройки cookie
Пользовательское соглашение Условия использования

Copyright © 2020 Huawei Technologies Co., Ltd., Все права защищены.

APP

Huawei ICT Club
Huawei ICT Club
Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.