Fortigate疑难杂症之 - IPSec中断恢复后语音及视讯仍然异常

最新推荐文章于 2024-05-09 04:18:08 发布
最新推荐文章于 2024-05-09 04:18:08 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: # Fortinet 文章标签: 网络 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sjj222sjj/article/details/121749643
版权
当IPSec连接因故中断并恢复后,语音电话服务未能随之恢复,原因是原有的UDP数据包会话可能被SNAT到公网,导致电话通信无法通过IPSec隧道。为解决此问题,可以配置防火墙的‘黑洞路由’,在IPSec中断时将路由导向也中断,防止电话流量走公网。通过WebUI或CLI添加黑洞路由可以确保IPSec临时中断时电话通信不受到影响,避免需要重启防火墙来恢复服务。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

故障描述:

总部与分支机构IPSec因为各种原因出现中断并恢复后语音电话未能恢复,需要重启防火墙后解决

问题分析

未重启前通过抓包发现IPSec恢复后,语音流量仍被防火墙通过SNAT走公网出去,并未匹配IPSec隧道

分析后得知IPSec因为某些不可控因素断线时,正常电话UDP数据包可能会被SNAT到公网形成会话(即失败状态),此时即使IPSec恢复,失败的通信会话也会一直存在,而后的电话通信通过防火墙则不会进行路由选择,直接走原有(失败的,转到公网的)会话,导致电话一直不通,重启防火墙后又恢复正常,遇到这种情况可以添加 “黑洞路由”,让IPSec临时中断时也把路由导向同时中断(避免IPSec电话走公网路线)

处理方式

WebUI直接添加黑洞路由
在这里插入图片描述

CLI方式添加

config router static
      edit 1
            set gateway x.x.98.249
            set device "wan"
      next
      edit 2
            set dst x.x.1.0 255.255.255.0
            set device "dg-to-sz"
      next
      edit 3
            set dst x.x.2.0 255.255.255.0
            set device "dg-to-sz"
      next
      edit 4
            set dst x.x.1.0 255.255.255.0
            set distance 254
            set comment "IPSec1黑洞路由_for_phone"
            set blackhole enable
      next
      edit 5
            set dst x.x.2.0 255.255.255.0
            set distance 254
            set comment "IPSec2黑洞路由_for_phone"
            set blackhole enable
FortiGate防火墙与Aruze云隧道中断问题
叫我小火柴
02-14 2097
本文主要讲解FortiGate防火墙与Aruze云搭建IPSECVPN后,经常出现隧道中断问题处理方法。
Fortigate疑难杂症- IPSec传输大文件中断/其他异常中断
RaySun的技术Blog
08-03 1721
IPSec两端的防火墙设备的IKE端口更改为非默认端口将IPSec两端的协商模式由主动模式改为野蛮模式。
点到点 Ipsec *** 从一端能正常发起,另一端发起不成功的解决过程
weixin_34117211的博客
10-11 1121
集团总部用的cisco 5540防火墙,上面配置了2个动态***,若干L2L***。集团总部到各分公司直接用lan to lan ipsce ***连接,部分分公司到集团总部的***能够双向发起,部分分公司,只能从集团端发起***后,才能成功建立隧道实现双向通信。下面具体描述下 解决问题的过程。 首先,肯定是debug了,显示第二阶段协商失败。********QM...
cisco防火墙ipsec故障排除
05-28
cisco防火墙asa和pix上面配置ipsec 常见故障分析与故障排除方法
飞塔防火墙VOIP ALG参数导致SIP外呼无声音的坑
qq_32248673的博客
07-22 2285
最初判是因为防火墙策略限制,只开通了外呼系统的白名单地址,.防火墙全部放开了问题依旧,便主观认为是核心或者接入层交换机导致,查看核心交换机,接入层交换机配置,未找到原因。那只能一台台设备排查,最后排查下来居然还是防火墙问题导致,尴尬了!原因找到了,就是解决办法了,上搜寻相关的案例,还真有同样的场景出现过,看来这个坑不是只有我踩到。参照以下解决办法,问题终于解决,特此留文。移除sessionhelper。特别感谢以下两篇文章的参考调整参数。3重启Fortigate。...
[FortiGate]FGT-VM64-v7.4.2.F-build2571-FORTINET.out.ovf.zip
01-06
FGT_VM64-v7.4.2.F-build2571-FORTINET.out.ovf.zip
FortiGate Security7.0教程-中文
06-11
FortiGate Security7.0教程-中文
FortiGate-VM64-7.2
09-07
最新版本FortiGate-VM64-7.2,直接导入VM使用,用户名:admin,无密码。
[FortiGate] FGT-VM64-v7.2.6.F-build1575-FORTINET.out.ovf.zip
01-06
厂家:[FortiGate] 文件名:FGT_VM64-v7.2.6.F-build1575-FORTINET.out.ovf.zip 类型:VMware ESXI ovf部署
FortiGate 400E防火墙FortiOS-V7.2.2-build1255固件
06-02
FortiGate 400E防火墙FortiOS-V7.2.2-build1255固件
SIP/VoIP之常见的语音问题
szkbsgy的专栏
04-14 3234
语音通话是SIP或VoIP应用中最重要的功能,一旦语音方面出现问题,将极大的降低产品的口碑,很容易被市场和用户淘汰。
【隧道篇 / IPsec】(5.6) ❀ 04. 删除向导建立的IPsecFortiGate 防火墙
防火墙技术专栏
09-06 5318
【简介】我们已经知道向导可以快速建立IPsec,在某些情况下需要删除IPsec,你知道要删除哪些吗? IPsec 关联 在飞塔防火墙,能不能删除某样东西,先要看是不是有关联。 ① 登录FortiGate 60E防火墙,选择菜单【虚拟专-IPsec 隧道】,可以看到隧道60E-100D是停用状态,相关联有个数字4,说明这条隧道......
IPSec VPN自动开的问题
pocher的博客
12-18 3596
需要检查下DPD检测有没有开启,如果没有开启超过链接生存周期后就会自动开,DPD检测相当于Keepalive机制。
防火墙硬件故障影响策略的有效执行
最新发布
ZOMO的博客
05-09 333
随着网络技术的快速发展,企业对于网络安全的需求越来越高。防火墙作为网络安全设备的一种,通过实施访问控制、内容过滤、异常检测等策略,有效地阻止了恶意攻击的进入。然而,防火墙硬件故障可能导致其无法正常工作,进而影响到策略的执行效果,给企业带来严重的安全隐患。防火墙硬件故障是网络安全管理中不容忽视的问题之一。本文分析了防火墙硬件故障对企业策略执行的影响,并提出了相应的解决方案。企业只有采取有效措施来应对防火墙硬件故障带来的挑战,才能确保网络安全策略的有效执行,为企业创造安全稳定的网络环境。
教程篇(7.2) 17. IPsec虚拟专用网络 & FortiGate基础设施 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
04-22 2653
在本课中,你将了解IPsec虚拟专用网络的体系结构组件以及如何配置它们。
alg 停用sip_如何关闭常用品牌的防火墙或路由器的SIP ALG功能
Aysen的博客
01-17 8759
介绍SIP ALG用于尝试避免在路由器上配置静态NAT。但是,它的实现因不同的路由器而异,而且常常使与启用了PBX的SIP ALG的路由器互操作变得困难。通常,您需要禁用SIP ALG并在路由器上配置一对一的端口映射。关于为什么要禁用SIP ALG,可查看文档为什么使用3CX要关闭SIP ALG。本篇文档我们将介绍Frank-如何关闭常用品牌的防火墙或路由器的SIP ALG功能。常见的SIP AL...
HCNP——黑洞路由和路由表与FIB表
weixin_62594100的博客
04-29 3681
HCNP——黑洞路由和路由表与FIB表
静态黑洞路由应用及实例讲解
热门推荐
YYC的专栏
01-24 1万+
黑洞路由:主要是指指向null接口的路由,null接口是一个虚拟的接口 无法被配置ip地址,转发到该接口上的数据包都会被丢掉,所以对于所 有可能因为中断故障产生路由回路的路由都加上一条黑洞路由。 例如在配置有默认路由的环境中如果该路由器中的某一个路由项因为故障 中断,那么很可能在两个路由器中造成路由环路 实验环境:H3C ENSP 配置要点: (系统模式)ip route-s
静态路由的Reject、Blackhole及Null属性有什么区别
好记性不如烂笔头
12-02 3599
1、当到某一目的地的静态路由具有“Reject”属性时,称为目的地不可达的路由。任何去往该目的地的IP报文都将被丢弃,并且通知源主机目的地不可达。 2、当到某一目的地的静态路由具有“Blackhole”属性时,称为目的地不可达的路由。任何去往该目的地的IP报文都将被丢弃,并且不通知源主机。 3、Null接口是一种虚拟接口,到这个接口的数据包会被立即丢弃,能够减少系统的负荷。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蛋黄酱拌饭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值