技术文档
当前位置:技术文档

usg5530 SSL VPN故障处理一例

来源:未知 时间:2020-03-06 10:06
 

        故障现象:

  通过web界面在完成外部组中的LDAP组信息管理配置后点击搜索后,会提示“LDAP搜索失败”。

  问题描述处理过程根因解决方案建议与总结问题描述

  版本信息:USG 5530 v300r001c10spc500

  组网拓扑:

  

 

  配置脚本如下:

  radius-server template shssl.tpl

  #

  ldap-server template shssl.tpl

  ldap-server authentication 192.168.0.31 389

  ldap-server authentication base-dn dc=sh,dc=austar,dc=com,dc=cn

  ldap-server authentication manager cn=administrator,cn=users,dc=sh,dc=austar,dc=com,dc=cn %$%$gbkHDMF):Q}D.{R]".T:9>5,%$%$ %$%$gbkHDMF):Q}D.{R]".T:9>5,%$%$

  ldap-server group-filter ou

  ldap-server authentication-filter (objectclass=*)

  ldap-server user-filter sAMAccountName

  undo ldap-server authentication manager-with-base-dn enable

  ldap-server server-type ad-ldap

  #

  #

  interface GigabitEthernet0/0/1

  ip address 222.222.25.147 255.255.255.192

  ipsec policy tobjsjcrb auto-neg

  #

  domain shssl.dom

  authentication-scheme shssl.scm

  authorization-scheme shssl.scm

  radius-server shssl.tpl

  ldap-server shssl.tpl

  #

  故障现象:

  通过web界面在完成外部组中的LDAP组信息管理配置后点击搜索后,会提示“LDAP搜索失败”。

  处理过程

  1、在配置外部组配置中,“需要获取的属性”中的配置建议和“认证授权配置 > 认证授权服务器配置”中LDAP 服务器的 “组过滤字段”配置为一致,否则,不同组字段如果没有相同的属性,搜索将失败;建议客户进行“需要获取的属性”和“组过滤字段”比对,客户进行比对配置信息一致,问题未得到解决;

  2、客户描述说FW和石家庄建立的SSL VPN是正常,新建和上海建议SSL VPN不成功,配置过程方式都一样,但是就上海配置不成功;让客户对LDAP服务的IP地址192.168.0.31进行ping测试,不通;在防火墙配置loopback地址带源地址ping测试可以ping通;

  3、建议客户收集配置信息进行问题定位分析:

  #

  interface GigabitEthernet0/0/1

  ip address 222.222.25.147 255.255.255.192

  ipsec policy tobjsjcrb auto-neg //设备的出接口下调用了ipsec 策略;

  #

  4、由于防火墙的出接口调用了IPSEE策略,进一步查询感兴趣流配置:

  rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

  rule 10 permit ip source 192.168.8.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

  rule 15 permit ip source 192.168.9.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

  5、发现服务器的IP地址192.168.0.31为IPSec感兴趣流里面对端的IP地址;服务器在远端内网,需要通过ipsec隧道通信,需要将防火墙地址进入ipsec隧道;

  6、建议客户在G0/0/1口配置源NAT,针对源地址为222.222.25.147和目的地址为192.168.0.31的包,修改其源IP地址,以匹配上IPSec的ACL规则。

  nat address-group 1 192.168.9.199 192.168.9.199 //为ACL3001里面感兴趣流里面的IP地址,根据具体组网情况分配;

  #

  interface GigabitEthernet0/0/1 //连接电信的出口

  ip address 222.222.25.147 255.255.255.192

  ipsec policy tobjsjcrb auto-neg

  #

  #

  nat-policy interzone trust dianxin outbound //进行源NAT转换,trust到dianxin域;

  Policy 8

  action source-nat

  policy source 255.255.255.192 0

  policy destination 192.168.0.31 0

  address-group 1

  7、指导客户进行配置后让客户进行测试发现还是搜索失败,让客户再次进行对服务器IP地址192.168.0.31进行Ping测试不通,然后同时带目标地址在防火墙进行报文分析:

  [sjz]display firewall session table verbose destination global 192.168.0.31

  15:11:35 2014/12/01

  Current Total Sessions : 1

  36516 ils VPN:public --> public

  Zone: local--> dianxin PolicyID: default TTL: 00:00:05 Left: 00:00:00 //转换应该是local到dianxin,而不是trust到dianxin;

  Output-interface: GigabitEthernet0/0/1 NextHop: 222.222.25.129 MAC: 00-00-00-00-00-00

  <--packets:0 bytes:0 -->packets:1 bytes:44

  222.222.25.147:53144-->192.168.0.31:389

  8、建议客户重新建议nat-policy策略进行端口GE0/0/1下源地址转换:

  nat-policy interzone local dianxin outbound //进行源NAT转换,local到dianxin域;

  Policy 0

  action source-nat

  policy source 255.255.255.192 0

  policy destination 192.168.0.31 0

  address-group 1

  9、配置好后建议客户进行测试,发现可以ping通服务器ip地址192.168.0.31,且在web界面进行搜索是成功,问题解决。

  根因

  1、服务器在远端内网,需要通过ipsec隧道通信,需要将防火墙地址进入ipsec隧道;

  2、用户登录或设备对LDAP服务器进行健康检测时,设备主动发起到LDAP服务器的连接请求(传送认证报文),其源IP为G0/0/1接口的主地址。请求信息匹配不上IPSec的ACL规则,不会透过IPSec隧道发送到LDAP服务器,所以认证失败。

  解决方案

  在G0/0/1口配置源NAT,针对源地址为222.222.25.147和目的地址为192.168.0.31的包,修改其源IP地址,以匹配上IPSec的ACL规则。

  nat address-group 1 192.168.9.199 192.168.9.199

  nat-policy interzone local dianxin outbound //进行源NAT转换,local到dianxin域;

  Policy 0

  action source-nat

  policy source 255.255.255.192 0

  policy destination 192.168.0.31 0

  address-group 1

  建议与总结

  1、在处理防火墙的VPN故障时,首先是比对配置;

  2、在进行故障排查时建议客户获取报文发送邮箱进行分析,这样对故障的定位、解决有很大帮助;


上一篇:S5700-28P-LI-AC 配置telnet方式登陆设备提示失败处理
下一篇:华为防火墙IPSec VPN隧道无流量故障处理
电子标识编号:20181009000069

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服