路由模式下WAN口访问LAN口数据不通问题

15308890081

先上拓扑：

访问路径：防火墙→爱快wan→爱快lan→交换机→VPN设备→审计服务器
思路是 防火墙172.16.5.2经过爱快nat后变成10.11.0.2（内网网段地址）去访问审计服务器，但是核心和VPN设备都收不到包，把爱快路由跳过，修改路由地址，直接把防火墙改为10.11.0.2 可以过VPN设备访问审计，搞不懂问题在哪:'(请各路大神分析分析

爱快抓包数据

22:09.6	10.11.0.2	10.1.1.2	ICMP	98	Echo (ping) request  id=0xbf0a, seq=264/2049, ttl=63 (no  response found!)
22:09.6	Shenzhen_c1:64:4b	Broadcast	ARP	60	Who has 10.11.0.2? Tell 10.11.0.99
22:10.6	10.11.0.2	10.1.1.2	ICMP	98	Echo (ping) request  id=0xbf0a,  seq=265/2305, ttl=63 (no response found!)
22:11.6	10.11.0.2	10.1.1.2	ICMP	98	Echo (ping) request  id=0xbf0a,  seq=266/2561, ttl=63 (no response found!)
22:11.6	Shenzhen_c1:64:4b	Broadcast	ARP	60	Who has 10.11.0.2? Tell 10.11.0.99
22:15.6	10.11.0.2	10.1.1.2	ICMP	98	Echo (ping) request  id=0xbf0a,  seq=270/3585, ttl=63 (no response found!)
22:15.6	Shenzhen_c1:64:4b	Broadcast	ARP	60	Who has 10.11.0.2? Tell 10.11.0.99
22:16.1	10.11.0.2	10.1.1.2	TCP	74	47200 → 4430 [SYN] Seq=0 Win=5840 Len=0 MSS=1400 TSval=728102320 TSecr=0  WS=128
22:16.6	10.11.0.2	10.1.1.2	ICMP	98	Echo (ping) request  id=0xbf0a,  seq=271/3841, ttl=63 (no response found!)
22:16.6	Shenzhen_c1:64:4b	Broadcast	ARP	60	Who has 10.11.0.2? Tell 10.11.0.99
22:17.6	10.11.0.2	10.1.1.2	ICMP	98	Echo (ping) request  id=0xbf0a,  seq=272/4097, ttl=63 (no response found!)
22:18.6	10.11.0.2	10.1.1.2	ICMP	98	Echo (ping) request  id=0xbf0a,  seq=273/4353, ttl=63 (no response found!)
22:18.6	Shenzhen_c1:64:4b	Broadcast	ARP	60	Who has 10.11.0.2? Tell 10.11.0.99
22:19.6	10.11.0.2	10.1.1.2	ICMP	98	Echo (ping) request  id=0xbf0a,  seq=274/4609, ttl=63 (no response found!)
22:19.6	Shenzhen_c1:64:4b	Broadcast	ARP	60	Who has 10.11.0.2? Tell 10.11.0.99
22:22.6	Shenzhen_c1:64:4b	Broadcast	ARP	60	Who has 10.11.0.2? Tell 10.11.0.99
22:22.8	10.11.0.2	10.1.1.2	TCP	74	42364 → 4430 [SYN] Seq=0 Win=5840 Len=0 MSS=1400 TSval=728108995 TSecr=0  WS=128
22:23.6	10.11.0.2	10.1.1.2	ICMP	98	Echo (ping) request  id=0xbf0a,  seq=278/5633, ttl=63 (no response found!)
22:23.6	Shenzhen_c1:64:4b	Broadcast	ARP	60	Who has 10.11.0.2? Tell 10.11.0.99
22:25.8	10.11.0.2	10.1.1.2	TCP	74	[TCP Retransmission] [TCP Port numbers reused] 42364 → 4430 [SYN] Seq=0  Win=5840 Len=0 MSS=1400 TSval=728111995 TSecr=0 WS=128
22:26.6	10.11.0.2	10.1.1.2	ICMP	98	Echo (ping) request  id=0xbf0a,  seq=281/6401, ttl=63 (no response found!)

天空的飞鸟

ikuai使用路由模式的时候默认情况下是禁止外网访问内网端口的，需要在ikuai路由上-安全设置-添加一条允许源地址是防火墙目的地址是审计服务器的放行策略就可以了

15308890081

天空的飞鸟 发表于 2024-6-13 16:13ikuai使用路由模式的时候默认情况下是禁止外网访问内网端口的，需要在ikuai路由上-安全设置-添加一条允许源 ...

已经是放通ACL的了，另外ping啥的都是放通的

天空的飞鸟

15308890081 发表于 2024-6-13 18:36已经是放通ACL的了，另外ping啥的都是放通的

仔细看了下如果是ACL已经放行，那问题出在2个地方，
第一：防火墙数据经过爱快路由为何要做NAT？目的是什么呢？如果一定需做NAT那就NAT为爱快LAN口的地址（或者把10.11.0.2加到爱快LAN口的扩展IP）；
第二个问题，爱快上的静态路由写的有问题，10.1.0.0/16下一跳地址应该是三层的接口地址10.11.0.1,三层上需要加1条静态路由10.1.0.0/16  10.11.0.99；

15308890081

天空的飞鸟 发表于 2024-6-14 11:37仔细看了下如果是ACL已经放行，那问题出在2个地方，
第一：防火墙数据经过爱快路由为何要做NAT？目的是什 ...

感谢参与讨论，针对2点问题回答如下：
1.如果不做NAT，则进入VPN设备的数据变为172.16.5.2 不在总部设定的内网网段内，无法被VPN设备转发，故需要NAT为内网网段10.11.0.2后参与VPN转发；
2.如果三层交换机直接加10.1.0.0/16 10.11.0.99，那么此类数据从交换机测（客户端）访问将不经过爱快，直接被三层交换机转发给VPN设备10.11.0.99，这些数据不能被流控，未来桥接上架AC上网行为管理也不能生效，所以需要到爱快LAN口溜一圈再由爱快指定扔给VPN，不能由三层扔过去10.11.0.99:handshake

天空的飞鸟

15308890081 发表于 2024-6-14 14:20感谢参与讨论，针对2点问题回答如下：
1.如果不做NAT，则进入VPN设备的数据变为172.16.5.2 不在总部设定 ...

第一个问题前面已经说了，如果确有需要做NAT，那就把10.11.0.2这个地址添加为爱快LAN口的扩展IP，不然你做的NAT就是有问题的,NAT地址必须是在这个接口上有效的地址；
第二个问题，如果要实现你所描述的需求那你的VPN设备应该直连爱快路由而不是经过三层交换机，不然你在爱快上的这条路由10.1.0.0/16 10.11.0.99就没作用

天空的飞鸟

还有我严重怀疑你表述的，三层交换机没有写去往审计服务器的下一跳指向VPN设备的路由，你内网的设备是怎么可能正常访问到审计服务器的:dizzy:

15308890081

天空的飞鸟 发表于 2024-6-14 14:59还有我严重怀疑你表述的，三层交换机没有写去往审计服务器的下一跳指向VPN设备的路由，你内网的设备是怎么 ...

三层交换机是0.0.0.0/0 指向爱快，所以爱快只需要把总部方向请求的路由指向VPN设备就行了大概类似这样

天空的飞鸟

15308890081 发表于 2024-6-14 17:09三层交换机是0.0.0.0/0 指向爱快，所以爱快只需要把总部方向请求的路由指向VPN设备就行了大概类似这样

哦对，你的爱快、三层、VPN 同网段同 vlan是吧，那爱快确实有VPN的mac地址 可以实现数据转发；那你一开始的问题就应该是NAT的地址问题，只要把NAT的地址加到爱快lan的扩展IP就可以了

15308890081

天空的飞鸟 发表于 2024-6-14 17:48哦对，你的爱快、三层、VPN 同网段同 vlan是吧，那爱快确实有VPN的mac地址 可以实现数据转发；那你一开始 ...

对的，爱快路由lan口，三层，VPN设备都在默认vlan1内，按您所述添加了爱快lan口拓展ip，数据成功通过了:handshake 真厉害