公司建置MPLS VPN後,防火牆上靜態路由設定問題

mpls-vpn routing firewall juniper

hanshuang 2017-05-22 14:49:42 ‧ 9735 瀏覽

想請教一下各位前輩,目前小弟台灣公司與大陸分公司有建置MPLS VPN,但不知為何大陸端往台灣端SERVER的溝通有問題!其問題在於PING的到,但無法使用其服務,例如網頁、ERP、NAS...等,而台灣端要連到大陸的SERVER操作是沒問題的。目前只能把大陸要用的台灣SERVER將它的Gateway暫時指到台灣MPLS的Router上,讓大陸端User可以正常使用,但這個方式不太正規,所以想請教大家我的問題出在哪裡?

公司資料：
台灣公司 Juniper SSG5
防火牆 Lan1:192.168.0.1 / Lan2:192.168.2.1
MPLS Router:192.168.0.10 (路由接在Lan1的Switch上)
NAS:192.168.0.20 (File Server)
ERP:192.168.0.30 (WEB ERP,Windows 2012 STD)
Policy: Trust Intra-zone: Source(Any) To Destination(Any) Allow(Any Service)
靜態路由目的地 192.168.5.0/24 G/W:192.168.0.10 Interface:Lan1

大陸公司 Fortigate 60D
防火牆 Lan:192.168.5.1
MPLS Router:192.168.5.10 (路由接在Lan的Switch上)
SERVER :192.168.5.50 (File Server,Windows 2012 STD)
Policy: LAN to LAN: Source(Any) To Destination(Any) Allow(Any Service)
靜態路由目的地 192.168.0.0/24 G/W:192.168.5.10 Interface:Lan
　　　　目的地 192.168.2.0/24 G/W:192.168.5.10 Interface:Lan

問題：
1.台灣端可以遠端連線控制大陸端SERVER及USER,沒有任何問題
2.台灣SERVER預設G/W指到防火牆192.168.0.1
3.大陸端可以PING到台灣NAS及ERP,但無法連接到NAS上開啟任何檔案(出現無法訪問,錯誤代碼0x80070035),也無法用IE開啟NAS的管理頁面
4.大陸端可以PING到台灣WEB ERP,但無法用IE開啟ERP(出現無法顯示網頁)
5.將NAS及ERP的G/W指到MPLS Router後,大陸端可正常使用其服務

再麻煩各位前輩們指導一下,我是否有哪邊沒有設好?或是遺漏的地方?感謝大家!

看更多先前的討論...收起先前的討論...

msnman iT邦研究生 1 級 ‧ 2017-05-22 15:35:35 檢舉

檢查192.168.0.1的防火牆設定。
因為如果你原本的server設定gateway是指向防火牆，代表server要連線到192.168.5.0網段必須先經過防牆。gateway指向router表示不需要經過防火牆。

hanshuang iT邦新手 5 級 ‧ 2017-05-22 15:59:54 檢舉

這部份我已檢查過了,目前就是找不出F/W上哪裡有弄錯或少設定?也問過幾個熟悉JUNIPER的朋友,他們看了以後也說沒設錯,但就是不知哪裡出問題!不知有沒有什麼其它我需要檢查的地方嗎?

林門神JanusLin iT邦超人 1 級 ‧ 2017-05-22 17:28:26 檢舉

碰過 RESET 重新設定 SSG5 就好了

runan5678 iT邦研究生 1 級 ‧ 2017-05-22 17:32:06 檢舉

ping的到表示網路的設定沒問題，要不要看看fortigate 60D的設定，把一些關於資安的功能關掉測試看看

msnman iT邦研究生 1 級 ‧ 2017-05-23 11:12:55 檢舉

沒提到大陸使用者網段
大陸的防火牆也沒有設定使用者網段到台灣伺服器的靜態路由。

hanshuang iT邦新手 5 級 ‧ 2017-05-23 14:17:59 檢舉

@門神哈哈~~ 這個是最後手段了...如果最後還是找不到方法的話.....

hanshuang iT邦新手 5 級 ‧ 2017-05-23 14:19:15 檢舉

@runan5678 那台60D我只用基本防火牆功能,其它的我都沒開,所以看起來應該是別的問題.

hanshuang iT邦新手 5 級 ‧ 2017-05-23 14:20:13 檢舉

@msnman 有喔,文中有寫大陸公司的網段,只是交叉測試,感覺還是SSG5的路由問題...

msnman iT邦研究生 1 級 ‧ 2017-05-23 15:55:06 檢舉

我指的是大陸分公司的防火牆內網網段。192.168.5.1防火牆出口，那內部網路網段有使用嗎？

mytiny iT邦超人 1 級 ‧ 2017-05-23 17:34:35 檢舉

小弟建議不一定是防火牆問題
因為電信公司常常說一定要放路由器(其實大可不必)
所以或許可以請電信公司幫忙看看路由器的設定

hanshuang iT邦新手 5 級 ‧ 2017-05-24 09:48:30 檢舉

@msnman 大陸分公司的內網網段就是用192.168.5.x 抱歉,可能是我沒有很清楚的表達...

hanshuang iT邦新手 5 級 ‧ 2017-05-24 09:52:43 檢舉

@mytiny 電信公司那邊,當初在建置時我已遇到此問題,所以有請他們多次確認,得知的回覆是沒問題,不知針對大陸端到台灣端可以PING,不能用服務的部份,我可以怎麼問電信商呢?(他們之前是告知只有針對IP設規則,Service/Port則是全開放)

msnman iT邦研究生 1 級 ‧ 2017-05-24 11:31:41 檢舉

在防火牆內外網段都是192.168.5.X???還是大陸的電腦都接在router下方的switch上???

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

zyman2008

iT邦大師 6 級 ‧ 2017-05-22 15:22:46

像是典型的 triangle(asymmetric) route問題.

先確認Juniper SSSG policy有允許trust zone to trust zone, source為TW server to
destination為大陸clients IP的rule.
在不動網路架構的方式下,只能 disable "tcp-syn-check" 解這問題.
CLI: unset flow tcp-syn-check
https://kb.juniper.net/InfoCenter/index?page=content&id=KB4444&actp=METADATA
不過這個是gloabel設定,關了的負面影響就是,真的有問題的tcp syn行為就不會被檢查與攔阻.

回應 3
分享
檢舉

hanshuang iT邦新手 5 級 ‧ 2017-05-22 16:33:27 檢舉

這部份已確認有開,用ANY TO ANY或是TW_IP TO CN_IP都試過,結果都是一樣
我剛才有依照步驟去測試,結果一樣無法連到NAS開檔案,也無法用WEB開啟管理介面
嗚不知還有沒有其它的方式我可以測看看的

zyman2008 iT邦大師 6 級 ‧ 2017-05-22 17:44:54 檢舉

會看網路封包嗎 ? 看封包找問題比較快.
在client和server端同時抓封包,再做分析看是掉在哪一段.
是TCP handshake就沒完成,還是之後的application session.

hanshuang iT邦新手 5 級 ‧ 2017-05-23 14:20:45 檢舉

嗚...小弟不太會看封包.....所以無法從這裡著手.....

登入發表回應

Abbott

iT邦研究生 4 級 ‧ 2017-05-23 08:04:18

Fortigate 60D :
config system interface
edit [Name of the internal interface]
set icmp-redirect disable
end
試試 !

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

Abbott iT邦研究生 4 級 ‧ 2017-05-23 08:07:24 檢舉

不過最正確的做法是更改網路架構
將 MPLS Router 接到 Firewall 的獨立 port 上
路由再改

hon2006 iT邦大師 1 級 ‧ 2017-05-23 10:58:26 檢舉

對阿其實這個架構一點都不正規
要正規的話再買2個L3 switch
L2 SWITCH 不應該直接接 ROUTER
有機率是路由沒設定好

你可以把192.168.0.x 的機器default gateway改成 192.168.0.10
如果192.168.2.x 的機器連的到主機,那台北的router和防火牆設定就沒問題
接下來就剩大陸的 router 和防火牆的問題

hanshuang iT邦新手 5 級 ‧ 2017-05-23 14:43:08 檢舉

@Abbot 那個選項我在60D裡找不到哩!!

hanshuang iT邦新手 5 級 ‧ 2017-05-23 14:50:34 檢舉

@hon2006 會這樣弄是因為想減少SSG5的負擔,這台真的是很久了,而且效能也不夠,再加上公司沒有預算買L3的設備,更不用說換防火牆,所以我只能用現成的設備來處理....過去的公司都是用Fortigate,MPLS也是直接接在內網直接用是沒問題的(我知道不太正規).
目前狀況就是台灣端不管G/W設在防火牆或Router上台灣端都沒問題,主要是大陸端在連台灣的主機時,如果主機G/W指到防火牆就是能PING但不能用,所以我才會認為是SSG5的問題居多.

登入發表回應

IT 癡

iT邦高手 1 級 ‧ 2017-05-23 08:27:37

建議重新變更網路架構，把 Juniper & Fortigate 分別移到 MPLS 到 Router 之間，照你的畫法，實在看不出 Juniper & Fortigate 放在內部的用意為何，如果是要切 VLAN，如果你的 L2 等級夠高 (你沒寫上型號)，它也可以切 VLAN 使用

回應 3
分享
檢舉

hanshuang iT邦新手 5 級 ‧ 2017-05-23 14:57:45 檢舉

不好意思,可能我表達沒有很清楚,2台防火牆基本上都有對外控管公司上網,只是小弟偷懶沒畫,所以才會讓你們誤會放在內部,抱歉....
基本上,就是我把VPN廠商提供的路由器IP定義在和SERVER同網段,這樣同一台SWITCH狀況可以減少很多,以前公司2邊全都是Fortigate時,同樣的架構是沒有問題的(我知道這個不正規的規劃,這只能說小弟偷懶...),但現在公司台灣是用小小的舊機器SSG5,它就卡住了,所以我才會覺得是SSG5上面的設定有遺漏或設錯什麼,但實在找不出錯誤的原因,才想要麻煩各位前輩技術支援一下.