网络代理环境利用xshell连接隧道对端环境

网络代理环境实现xshell连接隧道对端环境

【场景说明】

某集团运营商办公网络是通过IE代理实现外网访问的,而工作环境是在异地机房,日常工作多用手机WiFi热点,先连接公司专用线路,再连接到堡垒机接入到机房环境,从而打通两地网络,实现本地远程或者ssh登录到机房目标主机。

涉及软件:

代理软件:Proxifier3.31
连接工具:xshell

问题描述:

通过办公区本地网络连接专用线路后,利用xshell无法登录到异地机房堡垒机12.0.3.1,即无法实现两地局域网的互通接连,虽然公司专用线路已经实现了两地大的网络逻辑连通,但无法连接到工作区域网络,无法实现既定工作。而手机热点是可用通过22端口接入到堡垒机的。

【问题分析】

1)场景中的专线连接方式属于client-LAN的隧道接通,即Access 专线,这是一种在2层数据链路层对数据分组重新封装IP,既然专线两端可以连接,并且连接日志里无报错,显示正常。这说明两地网络已实现隧道建立;
2)ssh无法连接异地机房堡垒机的22端口且telnet不通,但可以ping通12.0.3.1,且之前手机热点是可以接入22端口的,说明问题出在办公区一侧,初步怀疑是办公区对22端口加了网络限制;
3)问询办公区网络人员,并未获得有效信息,问询机房网络管理人员,堡垒机侧并未实施相关22端口的禁用策略,回想之前其他项目中22端口可以接通出去,暂排除本地22端口限制,至少优先级降低考虑;
4)因办公区网络是通过代理进行网络数据流转发的,那可能就出现在代理软件数据转发规则上了。

【问题处理】

1)首先检查代理软件Proxifier,发现有代理规则的配置选项:
网络代理环境利用xshell连接隧道对端环境_第1张图片
因对代理操作不熟,联想转发规则,遂考虑可配置代理规则,尝试网络连接通断情况:
网络代理环境利用xshell连接隧道对端环境_第2张图片
注意:在xshell5中,xshell以shellcore.exe作为守护进程来使用,故代理规则中,还需要将xshellcore.exe一并配置为直通连接,如下图所示:
网络代理环境利用xshell连接隧道对端环境_第3张图片
用xshell测试堡垒机连接,连接正常:
网络代理环境利用xshell连接隧道对端环境_第4张图片

结论

最终验证是本地代理软件的转发问题,导致本地请求通过代理转发到代理端口,而隧道对端并没有开放代理端口,而且走代理端口并不是走的逻辑网络,而是走的实际物理网络,故转发规则改为直连模式,即本地连接直接通过隧道连接,而非走代理线路,故实现了接入异地机房特定区域网的需求。原因:对代理软件使用不熟,对网络知识不熟,特分享出来,减少相同入坑者的迷茫误判时间。

你可能感兴趣的:(网络_FAQ)