本帖最后由 adds 于 2023-8-1 21:16 编辑
最近流年不利,各种莫名其妙的问题频频出现,心力交瘁。
1、需求 客户购买了两台VPN,总部和分支各一台。 规划是这样的: 需求就是让192.168.10.0与192.168.1.0能互相能通信。
2、部署 2.1 初次部署 2023年4月 总部的VPN部署上去,卡在出口防火墙端口上。 1)VPN上架。 当时的情形是这样的。 一开始给总部VPN配置的地址是192.168.10.250。 但这个IP到出口防火墙不通。反向也不通。 在AC上加全局排除。 排查发现,VPN更换地址后可以用。 至此,发现客户这里的一个坑:没有人管网络,或者说没有人懂这里的网络。IP没有规划,给你IP看运气,不能用再换。 连续更换2个IP后,将VPN的IP固定为192.168.10.237/24,网关为192.168.10.1,网关在核心交换机上。
2)在配置好总部VPN的配置后,需要在出口防火墙上放通4009端口。 VPN配置略,就是基本设备、新增用户。 配置完VPN后,需要在天融信防火墙上配置端口映射。 先配置IP地址(对象),再配置服务对象(UDP/TCP4009),再配置地址转换、应用控制策略。 配置完,不通。 天融信墙到VPN的4009端口通,但互联网访问天融信墙的公网IP的4009端口不通。我检查配置没有发现问题,天融墙上也没有找到抓包位置,捣鼓一通也不行。于是跟客户约定,让天融信的工程师帮忙配置下端口映射。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 没想到中间的分隔竟这么的长 4个月后,7月底客户约上了天融信的工程师和我一起觖决VPN映射问题。 1、等待天融信配置防火墙 这里说下天融信防火墙的售后电话:400-777-0777。 我感觉目前天融信的体系和深信服很像,400响应也很及时,过后还有回访。 调完我问现场的天融信工程师,告诉我新增了一条双向地址置换,就是“8090”。 然后就好了,但是后来我测试,把“8090”关了,并不影响映射结果。 2、总部交换机写回包 将去往分支192.168.1.0/24网段的数据交给VPN设备。 3、分支VPN配置 分支只需要配置好网络配置和连接管理即可。 分支使用的IP为192.168.1.240/24,网关192.168.1.254。 4、VPN连接排错 4.1 分支配置好连接管理后,报错“连接中断”。 总部显示: 在总部抓包: 总部有收到分支发来的VPN数据包。 4.2 查看出口防火墙的外网口地址,发现有两个公网IP。 考虑有可能数据进出不一致,单独配置一条SNAT规则,将192.168.10.237的地址置换为目的地址映射用到的公网IP。 4.3 ARP检查 怀疑VPN地址有可能冲突。在VPN上通过命令行控制台获取MAC,和在电脑上ARP获取VPN的MAC地址进行对比。 电脑ARP: 192.168.1.240 MAC:ec-d6-8a-c8-75-0e VPN 192.168.1.240 MAC:ec-d6-8a-c8-75-0e 4.4 更换IP 将VPN的地址更换为192.168.1.253后问题觖决。 5、分支访问总部VPN不正常 VPN状态正常后,在分支天融信防火墙上配置去往192.168.10.0/24,下一跳指向VPN的静态路由。但配置后,在分支终端去访问总部VPN地址不通。 5.1 在分支PC上路径跟踪。 发现分支防火墙没有将数据包丢给VPN。 5.2 天融信防火墙配置 检查发现,天融信防火墙除了有配置策略,策略路由优先级于静态路由。我们这里再增加一条去往总部192.168.10.0/24网段的策略路由。 分支防火墙上原有的策略路由,与默认路由功能相同: 再增加一条策略路由: 分支终端访问总部VPN正常。 6、总部PC访问分支PC不正常。 使用总部的192.168.10.170终端去访问分支的192.168.1.253终端不正常。 6.1 在分支VPN上抓包 tcpdump -i any host 192.168.10.170 and icmp -nne -c 100 可以看到分支VPN收到了总部PC终端的ICMP request且收到了发支PC终端的ICMP reply。 6.2 在总部VPN上抓包 tcpdump -i any host 192.168.10.170 and icmp -nne -c 100 总部VPN有收到分支PC终端的ICMP reply。 抓VPN连接交换机eth0的包。 tcpdump -i eth0 host 192.168.10.170 and icmp -nne -c 100 总部VPN将192.168.1.170的ICMP reply转发了出去。
---------------------------------------我是分割线------------------------------------- 现在已然来到了第二天。
到这里,如果我是厂家的话,基本就结束了,因为我证明了,我VPN配置的没有问题,需要再去进一步排查网络交换机的问题。 但客户这边真是拖怕我了,配置个端口映射能4个月,那排查个问题估计要等明年了。
6.3 排查交换机问题 在交换机上抓包。 VPN连接交换机的是1/38口,镜像到1/35口。 电脑接交换机的1/35,开启wireshark抓包。 可以看到交换机的38口收到了分支回给总部的reply包。 那是不是交换机没有转发icmp reply包呢? 总部PC机192.168.10.170连接的是交换机的1/23口。像像1/23口给1/35口。 电脑抓交换机1/23口过来的包。 该接口没有收到分支给总部的reply包。 这是一台H3c s7503的交换机,检查交换机配置,没有发现啥问题。 联系400,400-810-0504,由于设备过保,400没有电话支持,要我去社区自己问。
6.4 更换网段 考虑VPN的地址段是业务段,有可能冲突或者其他原因导致的异常。 在交换机上新增一个VLAN,配置为192.168.100.0/24网段,VPN地址更改为192.168.100.237/24,网关192.168.100.1。 再次抓包依旧是交换机收到了包,终端收不到。 交换机连接VPN的接口镜像给电脑:
6.5 更改VPN协议 怀疑有可能是VPN协议的问题,于是将TCP协议更改为UDP。 其实这个想法就有点儿不正常了,肯定不关协议的事。
6.5 继续查S7503交换机 不在WEB界面看了,WEB界面配置看不全。 查看VPN接交换机的接口下配置: 这里有一条:ip verify souce mac-address 虽然我不太清楚华三交换机这条命令的具体配置,但根据英文可以判断是进行了源MAC验证。 去掉试下: 再去测试,两端通信正常。 6.6 总结 VPN连接交换机的接口开启了IP/MAC绑定,导致从VPN过来的分支数据到达交换机后,交换机验证非该接口下绑定的MAC进行了丢弃动作。
7、其他问题
7.1 遇到个奇怪的问题,WPS打开1个word可用,但打开多人word就卡慢。重装、卸载出现问题安装的系统更新均无效。后来通过右键“以管理员身份运行“觖决。 7.2 天融信防火墙有个很强大的功能,即防火墙可以作镜像。 配置如下: network port-mirror group add name ceshi dst-port feth7 //这条先配置一个数据镜像的目的端口 network port-mirror group add name ceshi src-port feth0 direction both //这条配置数据镜像的源端口跟双向流量条件 network port-mirror group start ceshi 启动镜像进程 network port-mirror group show //查看镜像进程运行情况和镜像数据包过程 7.3 华为交换机配置console密码 user-interface console 0 authentication-mode password //用户设置console认证方式为密码认证 set authentication password cipher 123 //设置密码为123
|