防火墙与远端站点IPSec VPN隧道建立成功,但Web页面显示隧道无业务流量。
1. 检查IPSec配置,确认两端的IPSec策略正确、认证方法和密钥一致。
2. 进行ping和tracert测试,分段检查路由是否可达且按路径转发,发现业务区服务器到防火墙接口ping测试超时。
3. 检查安全策略与域间配置,确认防火墙已正确放行IPSec报文
4. 查看NAT策略,检查NAT策略是否干扰了IPSec VPN流量,远端防火墙上存在一条访问公网的NAT NAPT策略,匹配全局流量。
根因
1. 本地防火墙上设置的回程静态路由配置缺失,防火墙无法将数据包正确转发到业务区服务器网关。
2. 对端回程流量抵达防火墙时优先匹配了NAT策略,导致进行了源NAT转换后的流量没有进入IPSec隧道。
解决方案
1. 在防护墙添加回程静态路由,保证防火墙接口与业务区网关的路由可达。
2. 添加一条针对IPSec流量不进行NAT转换的NAT策略,策略中定义的地址范围仅包含IPSec流量,且该策略的优先级高于源NAT策略。因此,IPSec流量不会进行NAT转换,顺利进入隧道。同时保证了其他流量能够匹配NAT策略,正常访问外网。
#nat-policy
rule name policy_nat1
source-zone trust
destionation-zone untrust
source-address 172.16.xxx.0 24
action no-nat