前几天去某县的汽运站配置防火VPN的时候，碰到了问题

Jedix

外网分支通过VPN L2TP拨号连接到公司的内网，能够PING通内网的一台售票数据库服务器，但是外网客户端运行售票软件连接数据库时，就会提示无法找到主句或主机拒绝访问。
而只有在防火墙上做一条NAT目标地址转换
源地址       目标地址                服务             入接口                    转换后的地址       转换后端口
VPN地址组   售票数据库服务器        服务器开放端口   GE5(服务器所在网络)          售票数据库服务器   服务器开放端口
这样外网用户的售票软件才成功连接内网的售票数据库服务器
什么原因啊，百思不得其解。。。

xuexue705

PINg通证明VPN成功，你服务器开放的端口的，和你客户机上运行软件设置的参数对不。

应该是售票软件设置问题。

Jedix

我感觉那条NAT没什么意义的
目标转换地址NAT
源是VPN地址组
目标地址和目标端口转换后还是一样，只是入接口是售票数据库服务器的网关接口
但是做了那条目标NAT，才使得VPN客户端的售票软件成功连接数据库。
实在想不通啊

Jedix

而且我发现VPN拨号上去后没有获取VPN网段的默认网关的，但是又因为售票数据库服务器的网段就是防火墙的直连网段，VPN也做在防火墙上。会不会因为VPN客户端售票软件在连接数据库的时候没有检测到VPN默认网关，而提示主机无法连接或主机拒绝访问

Jedix

但这又和NAT有什么关系呢，虽然我最后是配置好了防火墙，但就这问题一直想不通

fy923

在外网加条ACL，permit ip ip 我试过，如果是静态nat映射端口后，在接口把这个ip也允许了吧，可以试试

mhchen2012