故障現(xiàn)象:
通過web界面在完成外部組中的LDAP組信息管理配置后點(diǎn)擊搜索后�����,會(huì)提示“LDAP搜索失敗”。
問題描述處理過程根因解決方案建議與總結(jié)問題描述
版本信息:USG 5530 v300r001c10spc500
組網(wǎng)拓?fù)洌?/p>
配置腳本如下:
radius-server template shssl.tpl
#
ldap-server template shssl.tpl
ldap-server authentication 192.168.0.31 389
ldap-server authentication base-dn dc=sh,dc=austar,dc=com,dc=cn
ldap-server authentication manager cn=administrator,cn=users,dc=sh,dc=austar,dc=com,dc=cn %$%$gbkHDMF):Q}D.{R]".T:9>5,%$%$ %$%$gbkHDMF):Q}D.{R]".T:9>5,%$%$
ldap-server group-filter ou
ldap-server authentication-filter (objectclass=*)
ldap-server user-filter sAMAccountName
undo ldap-server authentication manager-with-base-dn enable
ldap-server server-type ad-ldap
#
#
interface GigabitEthernet0/0/1
ip address 222.222.25.147 255.255.255.192
ipsec policy tobjsjcrb auto-neg
#
domain shssl.dom
authentication-scheme shssl.scm
authorization-scheme shssl.scm
radius-server shssl.tpl
ldap-server shssl.tpl
#
故障現(xiàn)象:
通過web界面在完成外部組中的LDAP組信息管理配置后點(diǎn)擊搜索后�,會(huì)提示“LDAP搜索失敗”�����。
處理過程
1����、在配置外部組配置中�����,“需要獲取的屬性”中的配置建議和“認(rèn)證授權(quán)配置 > 認(rèn)證授權(quán)服務(wù)器配置”中LDAP 服務(wù)器的 “組過濾字段”配置為一致��,否則�,不同組字段如果沒有相同的屬性����,搜索將失敗;建議客戶進(jìn)行“需要獲取的屬性”和“組過濾字段”比對(duì),客戶進(jìn)行比對(duì)配置信息一致�,問題未得到解決;
2、客戶描述說FW和石家莊建立的SSL VPN是正常����,新建和上海建議SSL VPN不成功,配置過程方式都一樣���,但是就上海配置不成功;讓客戶對(duì)LDAP服務(wù)的IP地址192.168.0.31進(jìn)行ping測(cè)試����,不通;在防火墻配置loopback地址帶源地址ping測(cè)試可以ping通;
3、建議客戶收集配置信息進(jìn)行問題定位分析:
#
interface GigabitEthernet0/0/1
ip address 222.222.25.147 255.255.255.192
ipsec policy tobjsjcrb auto-neg //設(shè)備的出接口下調(diào)用了ipsec 策略;
#
4�、由于防火墻的出接口調(diào)用了IPSEE策略,進(jìn)一步查詢感興趣流配置:
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 10 permit ip source 192.168.8.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 15 permit ip source 192.168.9.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
5����、發(fā)現(xiàn)服務(wù)器的IP地址192.168.0.31為IPSec感興趣流里面對(duì)端的IP地址;服務(wù)器在遠(yuǎn)端內(nèi)網(wǎng),需要通過ipsec隧道通信����,需要將防火墻地址進(jìn)入ipsec隧道;
6、建議客戶在G0/0/1口配置源NAT���,針對(duì)源地址為222.222.25.147和目的地址為192.168.0.31的包��,修改其源IP地址���,以匹配上IPSec的ACL規(guī)則。
nat address-group 1 192.168.9.199 192.168.9.199 //為ACL3001里面感興趣流里面的IP地址���,根據(jù)具體組網(wǎng)情況分配;
#
interface GigabitEthernet0/0/1 //連接電信的出口
ip address 222.222.25.147 255.255.255.192
ipsec policy tobjsjcrb auto-neg
#
#
nat-policy interzone trust dianxin outbound //進(jìn)行源NAT轉(zhuǎn)換�,trust到dianxin域;
Policy 8
action source-nat
policy source 255.255.255.192 0
policy destination 192.168.0.31 0
address-group 1
7、指導(dǎo)客戶進(jìn)行配置后讓客戶進(jìn)行測(cè)試發(fā)現(xiàn)還是搜索失敗�,讓客戶再次進(jìn)行對(duì)服務(wù)器IP地址192.168.0.31進(jìn)行Ping測(cè)試不通,然后同時(shí)帶目標(biāo)地址在防火墻進(jìn)行報(bào)文分析:
[sjz]display firewall session table verbose destination global 192.168.0.31
15:11:35 2014/12/01
Current Total Sessions : 1
36516 ils VPN:public --> public
Zone: local--> dianxin PolicyID: default TTL: 00:00:05 Left: 00:00:00 //轉(zhuǎn)換應(yīng)該是local到dianxin�����,而不是trust到dianxin;
Output-interface: GigabitEthernet0/0/1 NextHop: 222.222.25.129 MAC: 00-00-00-00-00-00
<--packets:0 bytes:0 -->packets:1 bytes:44
222.222.25.147:53144-->192.168.0.31:389
8�、建議客戶重新建議nat-policy策略進(jìn)行端口GE0/0/1下源地址轉(zhuǎn)換:
nat-policy interzone local dianxin outbound //進(jìn)行源NAT轉(zhuǎn)換,local到dianxin域;
Policy 0
action source-nat
policy source 255.255.255.192 0
policy destination 192.168.0.31 0
address-group 1
9����、配置好后建議客戶進(jìn)行測(cè)試,發(fā)現(xiàn)可以ping通服務(wù)器ip地址192.168.0.31�,且在web界面進(jìn)行搜索是成功,問題解決�。
根因
1、服務(wù)器在遠(yuǎn)端內(nèi)網(wǎng)�,需要通過ipsec隧道通信�,需要將防火墻地址進(jìn)入ipsec隧道;
2、用戶登錄或設(shè)備對(duì)LDAP服務(wù)器進(jìn)行健康檢測(cè)時(shí)�,設(shè)備主動(dòng)發(fā)起到LDAP服務(wù)器的連接請(qǐng)求(傳送認(rèn)證報(bào)文),其源IP為G0/0/1接口的主地址��。請(qǐng)求信息匹配不上IPSec的ACL規(guī)則���,不會(huì)透過IPSec隧道發(fā)送到LDAP服務(wù)器�,所以認(rèn)證失敗。
解決方案
在G0/0/1口配置源NAT�,針對(duì)源地址為222.222.25.147和目的地址為192.168.0.31的包,修改其源IP地址���,以匹配上IPSec的ACL規(guī)則��。
nat address-group 1 192.168.9.199 192.168.9.199
nat-policy interzone local dianxin outbound //進(jìn)行源NAT轉(zhuǎn)換��,local到dianxin域;
Policy 0
action source-nat
policy source 255.255.255.192 0
policy destination 192.168.0.31 0
address-group 1
建議與總結(jié)
1�����、在處理防火墻的VPN故障時(shí)�����,首先是比對(duì)配置;
2���、在進(jìn)行故障排查時(shí)建議客戶獲取報(bào)文發(fā)送郵箱進(jìn)行分析,這樣對(duì)故障的定位�����、解決有很大幫助;
