RV016、RV042、RV042G和RV082 VPN路由器上虚拟专用网络访问列表故障排除

目标

访问控制列表(ACL)是允许和拒绝条件的集合。ACL指定哪些用户或系统进程被授予对特定资源的访问权限。ACL可以阻止任何不必要的访问网络资源的尝试。当您在两台路由器上都配置了ACL，但其中一台路由器无法区分ACL允许的流量列表和拒绝的流量列表时，可能会出现这种情况。Zenmap是一种开源工具，用于检查活动数据包过滤器/防火墙的类型，用于测试配置。

本文介绍如何对两个VPN路由器之间网关到网关VPN上不起作用的允许ACL进行故障排除。

适用设备

· RV016
· RV042
· RV042G
· RV082

软件版本

•v4.2.2.08

基于VPN的ACL配置

步骤1.登录Web配置实用程序，然后选择Firewall > Access Rules。“访问规则”页打开：

注意：无法编辑默认访问规则。上述图像中提到的用户配置的访问规则可以通过以下过程进行编辑。

步骤2.单击“添加”按钮添加新的访问规则。“访问规则”页面将更改为显示“服务”和“计划”区域。以下步骤将介绍添加一个访问规则。

步骤3.从“操作”下拉列表中选择“拒绝”以拒绝服务。

步骤4.从“服务”下拉列表中选择应用于规则的所需服务。

第5步。（可选）要添加服务下拉列表中不存在的服务，请点击服务管理。在服务管理中，可以根据需要创建服务。创建服务后，单击“确定”以保存设置。

步骤6.从“日志”下拉列表中为仅匹配的日志选择“日志”数据包，为不匹配访问规则的日志选择“不记录”。

步骤7.从Source Interface下拉列表中选择接口类型，该接口类型是访问规则的源。可用选项包括：

· LAN — 如果源接口是局域网，则选择LAN。

· WAN — 如果源接口是ISP，则选择WAN。

· DMZ — 如果源接口是隔离区，则选择DMZ。

· ANY — 选择ANY将源接口作为上述任何接口。

步骤8.从Source IP下拉列表中，选择适用于访问规则的所需源地址。可用选项包括：

·单个 — 如果单个IP地址是单个IP地址，则选择单个并输入IP地址。

·范围 — 如果范围是IP地址范围，则选择范围，并输入范围中的第一个和最后一个IP地址。

· ANY — 选择ANY，将规则应用于所有源IP地址。

步骤9.从Destination IP下拉列表中，选择适用于访问规则的所需目标地址。可用选项包括：

·单个 — 如果单个IP地址是单个IP地址，则选择单个并输入IP地址。

·范围 — 如果范围是IP地址范围，则选择范围，并输入范围中的第一个和最后一个IP地址。

· ANY — 选择ANY将规则应用于所有目标IP地址。

步骤10.从Time下拉列表中选择定义规则何时处于活动状态的方法。它们是：

·始终 — 如果从“时间”下拉列表中选择“始终”，则访问规则将始终应用于流量。

· Interval — 如果从Time下拉列表中选择Interval，则可以选择访问规则处于活动状态的特定时间间隔。指定时间间隔后，从Effective On字段选中希望访问规则处于活动状态的天的复选框。

步骤11.单击“保存”以保存设置。

步骤12.重复步骤2至10，将字段分别与图中所示字段匹配。此处应用按客户划分的访问规则。前7个允许某些服务；第8个拒绝所有其他流量。此配置也在第二台路由器上进行。允许IPSec端口500。

注意：对两台路由器执行此操作，以检验是否根据需要配置了访问规则。

VPN路由器编号1

VPN路由器2

步骤13.从http://nmap.org/download.html安装Zenmap(NMAP)，然后在192.168.2.0 LAN的PC上启动它。

注意：这是路由器后面的LAN，带有另外七个ACL。目标IP(192.168.1.101)是远程网关LAN上的PC。

步骤14.从配置文件中选择Quick Scan，然后单击Scan。通过此步骤，我们可以了解根据ACL打开和过滤的端口，如上图所示。输出显示，无论在RV0xx # 1上配置了哪些允许的ACL，这些端口都处于关闭状态。如果我们尝试检查远程网关的LAN IP(192.168.1.1)端口 — 我们发现端口80和443处于打开状态（已关闭PC 192.1）68.1.101)。

删除第7个被拒绝的ACL后，ACL能正常运行，从输出中可以看出，ACL工作正常。