У SSL VPN клиентов нет доступа к внутренней сети

156 0 0 0

Пользователи, подключающиеся по SSL VPN, жалуются на недоступность внутренней сети предприятия. При этом на файрволе появляются сообщения следующего вида:

MAY 27 2019 16:55:57+08:00 WGN_FW1%ATK/4/FIREWALLATCK(l)[0]: AttackType="IP spoof attack", slot="y",cpu="0", receive interface="GE1/0/x ", proto="UDP", src="172.x.x.53:54065 ", dst="y.y.y.y:53 ", begin time="2019-05-27 11:55", end time="2019-05-27 11:55", total packets="10", max speed="0", User="", Action="discard".

Как видим, файрвол считает, что происходит ip спуфинг и блокирует соединение.

При проверке конфигурации выяснилось, что для SSL VPN клиентов настроен следующий пул адресов: 172.x.x.51-172.x.x.100, а для клиентов локальной сети: 172.x.x.0/24.

SSL VPN трафик приходит с интерфейса GigabitEthernet 1/0/x, который находится в untrust зоне, а локальная сеть находится за интерфейсом GigabitEthernet 1/0/y (trust зона).

Также была дана команда firewall defend ip-spoofing enable, поэтому файрвол сопоставляет IP адреса двух зон и считает, что происходит ip спуфинг и дропает пакеты.

#
firewall defend ip-spoofing enable

#
service
network-extension netpool 172.x.x.51 172.x.x.100 255.255.255.0
#
interface GigabitEthernet1/0/y
   ip address 172.x.x.251 255.255.255.0
#
firewall zone trust
   add interface GigabitEthernet1/0/y
#
firewall zone untrust
   add interface GigabitEthernet1/0/x
#

Решить данную проблему можно одним из двух способов:

1) Дать команду undo firewall defend ip-spoofing enable. Но лучше воспользоваться вторым.
2) Настроить другой пул
IP адресов для SSL VPN клиентов, и прописать маршрут из внутренней сети до VPN сети.

  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход