故障现象:
通过web界面在完成外部组中的LDAP组信息管理配置后点击搜索后,会提示“LDAP搜索失败”。
问题描述处理过程根因解决方案建议与总结问题描述
版本信息:USG 5530 v300r001c10spc500
组网拓扑:
配置脚本如下:
radius-server template shssl.tpl
#
ldap-server template shssl.tpl
ldap-server authentication 192.168.0.31 389
ldap-server authentication base-dn dc=sh,dc=austar,dc=com,dc=cn
ldap-server authentication manager cn=administrator,cn=users,dc=sh,dc=austar,dc=com,dc=cn %$%$gbkHDMF):Q}D.{R]".T:9>5,%$%$ %$%$gbkHDMF):Q}D.{R]".T:9>5,%$%$
ldap-server group-filter ou
ldap-server authentication-filter (objectclass=*)
ldap-server user-filter sAMAccountName
undo ldap-server authentication manager-with-base-dn enable
ldap-server server-type ad-ldap
#
#
interface GigabitEthernet0/0/1
ip address 222.222.25.147 255.255.255.192
ipsec policy tobjsjcrb auto-neg
#
domain shssl.dom
authentication-scheme shssl.scm
authorization-scheme shssl.scm
radius-server shssl.tpl
ldap-server shssl.tpl
#
故障现象:
通过web界面在完成外部组中的LDAP组信息管理配置后点击搜索后,会提示“LDAP搜索失败”。
处理过程
1、在配置外部组配置中,“需要获取的属性”中的配置建议和“认证授权配置 > 认证授权服务器配置”中LDAP 服务器的 “组过滤字段”配置为一致,否则,不同组字段如果没有相同的属性,搜索将失败;建议客户进行“需要获取的属性”和“组过滤字段”比对,客户进行比对配置信息一致,问题未得到解决;
2、客户描述说FW和石家庄建立的SSL VPN是正常,新建和上海建议SSL VPN不成功,配置过程方式都一样,但是就上海配置不成功;让客户对LDAP服务的IP地址192.168.0.31进行ping测试,不通;在防火墙配置loopback地址带源地址ping测试可以ping通;
3、建议客户收集配置信息进行问题定位分析:
#
interface GigabitEthernet0/0/1
ip address 222.222.25.147 255.255.255.192
ipsec policy tobjsjcrb auto-neg //设备的出接口下调用了ipsec 策略;
#
4、由于防火墙的出接口调用了IPSEE策略,进一步查询感兴趣流配置:
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 10 permit ip source 192.168.8.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 15 permit ip source 192.168.9.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
5、发现服务器的IP地址192.168.0.31为IPSec感兴趣流里面对端的IP地址;服务器在远端内网,需要通过ipsec隧道通信,需要将防火墙地址进入ipsec隧道;
6、建议客户在G0/0/1口配置源NAT,针对源地址为222.222.25.147和目的地址为192.168.0.31的包,修改其源IP地址,以匹配上IPSec的ACL规则。
nat address-group 1 192.168.9.199 192.168.9.199 //为ACL3001里面感兴趣流里面的IP地址,根据具体组网情况分配;
#
interface GigabitEthernet0/0/1 //连接电信的出口
ip address 222.222.25.147 255.255.255.192
ipsec policy tobjsjcrb auto-neg
#
#
nat-policy interzone trust dianxin outbound //进行源NAT转换,trust到dianxin域;
Policy 8
action source-nat
policy source 255.255.255.192 0
policy destination 192.168.0.31 0
address-group 1
7、指导客户进行配置后让客户进行测试发现还是搜索失败,让客户再次进行对服务器IP地址192.168.0.31进行Ping测试不通,然后同时带目标地址在防火墙进行报文分析:
[sjz]display firewall session table verbose destination global 192.168.0.31
15:11:35 2014/12/01
Current Total Sessions : 1
36516 ils VPN:public --> public
Zone: local--> dianxin PolicyID: default TTL: 00:00:05 Left: 00:00:00 //转换应该是local到dianxin,而不是trust到dianxin;
Output-interface: GigabitEthernet0/0/1 NextHop: 222.222.25.129 MAC: 00-00-00-00-00-00
<--packets:0 bytes:0 -->packets:1 bytes:44
222.222.25.147:53144-->192.168.0.31:389
8、建议客户重新建议nat-policy策略进行端口GE0/0/1下源地址转换:
nat-policy interzone local dianxin outbound //进行源NAT转换,local到dianxin域;
Policy 0
action source-nat
policy source 255.255.255.192 0
policy destination 192.168.0.31 0
address-group 1
9、配置好后建议客户进行测试,发现可以ping通服务器ip地址192.168.0.31,且在web界面进行搜索是成功,问题解决。
根因
1、服务器在远端内网,需要通过ipsec隧道通信,需要将防火墙地址进入ipsec隧道;
2、用户登录或设备对LDAP服务器进行健康检测时,设备主动发起到LDAP服务器的连接请求(传送认证报文),其源IP为G0/0/1接口的主地址。请求信息匹配不上IPSec的ACL规则,不会透过IPSec隧道发送到LDAP服务器,所以认证失败。
解决方案
在G0/0/1口配置源NAT,针对源地址为222.222.25.147和目的地址为192.168.0.31的包,修改其源IP地址,以匹配上IPSec的ACL规则。
nat address-group 1 192.168.9.199 192.168.9.199
nat-policy interzone local dianxin outbound //进行源NAT转换,local到dianxin域;
Policy 0
action source-nat
policy source 255.255.255.192 0
policy destination 192.168.0.31 0
address-group 1
建议与总结
1、在处理防火墙的VPN故障时,首先是比对配置;
2、在进行故障排查时建议客户获取报文发送邮箱进行分析,这样对故障的定位、解决有很大帮助;