知识库与软件

连VPN只允许访问对端内网却不生效的案例

文档编号:853
浏览:7438 评分:11
最后更新于:2011-02-23

 

问题描述:
总部和分部建立vpn,并配置防火墙访问控制策略,使得总部和分部仅能访问对端而不允许访问INTERNET。配置防火墙策略后测试发现只能ping通对端网关地址,ping不通对端内网PC。
分析诊断:
1. 查看总部与分部的网关的VPN状态,显示已连接。
2. 查看总部与分部网关配置的防火墙访问控制策略,已根据要求设置。
3. 测试从总部ping分部网关的地址正常,ping分部内网PC的地址不通。
4. 检查总部和分部网关的VPN配置,发现在高级配置里均填写了对端虚接口ip地址。
5. 在总部和分部的网关的地址组配置功能里,将192.168.100.x网段的地址添加到对端地址组中,再进行PING测试正常。
原因分析:
总部、分部的VPN配置当中设置了对端虚接口IP地址,而在防火墙访问控制策略里未允许访问此部分IP地址所致。将对端虚接口IP地址添加到允许策略的地址组后测试正常。
注:虚接口ip地址:vpn连上后,路由器给对端分配的一个ip地址。

   2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1

   

      沪公网安备 31011702003579号