- 内网有相应的服务需要提供给外网用户进行访问,外网用户能通过防火墙公网地址访问到内网服务器真实业务。
| 软件版本 | StoneOS 5.5R3P9 |
| 硬件平台 | E1700 |
- 外网通过设备公网 IP 39.98.200.40:8081访问内网地址的 10.1.1.1 的 HTTP 80服务。
- 先在对象中找到服务簿,自定义一个tcp-8081端口。
注:目的端口为固定端口时,配置最小和最大一致,连续范围端口可以配置一个区间。在没有指定源端口的情况下,不用填写源端口,如果配置,会导致DNAT不匹配。(因一般源端口是随机,目的端口固定)
图示1
2.4.2 配置目的NAT- 可以在更多配置里开启记录日志,方便验证。
图示2
2.4.3 配置安全策略图示3
2.5 结果与故障分析配置完成。如果出现映射不通的情况下,请按照以下步骤检查:
(1)监控是否有日志,没有日志检查DNAT 配置及自定义服务。
(2)若配置没有问题,检查内网端口是否可达(可以通过SLB服务探测功能协助检查)。
(3)若内网端口不可达,检查内网路由。
(4)若内网端口可达,更换外网端口测试,测试成功则是外网端口问题。
(5)如果外网端口测试失败,debug抓包看数据包是否到防火墙,未到防火墙则是运营商问题;到防火墙被丢弃或内网没有回包,则查看丢弃原因;内网没回包考虑是内网没有回指路由的原因,可以做SNAT转换成内网接口测试。
更多IPSecVPN及其他精彩内容请见:
山石网科知识库https://kb.hillstonenet.com/cn/
