知

防火墙SSL VPN拨号失败

2026-03-20发表

0收藏

黄聪琴

黄聪琴四段

描述

问题描述：

防火墙SSL VPN无法建立或SSL VPN功能异常。

解决方法：

1、检查license

Comware V7防火墙在未安装SSLVPN license时，仅可以使用15个用户，如果想扩充用户数，则需要购买license。因此，需要首先查看设备是否已安装SSLVPN license以及license是否有效。

命令：display license

例如：通过命令查看，可以确认设备已安装license，有效期为2016-11-01到2016-12-01，授权用户数为25，当前状态为正常使用。

Current State表示license的当前状态，In use表示当前license正在使用；Usable表示当前license 正在等待使用（当设备同时安装了多个相对时间license，且多个license 均支持某一特性时，则只有一个license中的该特性处于In use 状态，其它license中的该特性会处于Usable 状态。绝对时间license，此状态表示未到启用时间）；Expired表示当前license已过期；Uninstalled表示当前license已卸载；Unusable表示当前license无法使用；Invalid表示不合法的数据，无法使用。

2、检查证书

Comware V7防火墙不自带证书，使用SSLVPN功能时，需要导入CA和LOCAL证书。因此本步骤需要分别查看是否存在SSL VPN相应PKI域的CA证书和LOCAL证书，且确认证书状态正常。

命令：pki validate-certificate domain domain-name ca

pki validate-certificate domain domain-name local

例如：通过命令查看，可以确认security域的CA证书和LOCAL证书存在且状态正常。

只有CA和LOCAL的Verify result都是OK的情况下，才判断为证书合法，否则一律判断证书无效。证书无效时，Verify result这里会显示原因，常见的有证书过期，此时需要收集反馈证书文件、设备诊断信息进行下一步定位。

3、检查PKI和SSL策略

SSL VPN策略有服务器策略（必选）和客户端策略（可选），在进行SSL服务器策略配置之前，还需要先配置PKI相关参数。先检查PKI域和实体的配置，然后检查SSL策略的配置。

命令：display current-configuration configuration pki-entity

display current-configuration configuration pki-domain

display current-configuration configuration ssl-server-policy

例如：通过命令查看PKI域和SSL策略的配置。

4、是否能打开SSL VPN首页

完成SSL VPN网关配置并在SSL VPN访问实例引用SSL VPN网关，使能SSL VPN网关功能和SSL VPN访问实例功能，然后在浏览器输入网关地址及端口号就能打开SSL VPN首页，如图 1所示。如果打不开SSL VPN首页，说明SSL VPN网关配置有误，需要检查sslvpn gateway的相关配置。

图 1 SSL VPN首页

5、检查网关配置

通过Web导航栏“网络>SSL VPN>网关”可以查看网关状态，检查网关的IP地址和端口号是否正确，网关工作状态是否为生效，如图 2所示，网关状态正常。

图 2 SSL VPN网关

点击右侧<编辑>按钮，进入编辑网关窗口，查看SSL VPN服务器端策略。缺省情况下（即不引用的情况下），SSL VPN网关引用设备自带的SSL服务器端策略。如果引用了自定义SSL VPN服务器端策略，查看网关状态正常，但无法打开SSL VPN首页，可以尝试取消SSL VPN服务器端策略的引用，此时防火墙自动调用设备缺省服务器端策略。如果测试成功，则说明引用SSL VPN服务器端策略有问题，需要进一步排查。

图 3 检查网关配置

D032分支鼓励使用Web界面操作，命令行同样也支持查看网关状态，通过display sslvpn gateway命令查看网关Operation state状态，当引用了服务器端策略会显示策略名称，如没有引用，则不显示任何SSL server policy参数。

命令：display sslvpn gateway name XX

例如：以下网关gw里，第一个是没有引用服务器端策略的状态显示，第二个是引用了服务器端策略ssl的状态显示。

6、检查服务器端策略

如果SSL VPN首页打不开，页面报如图 4所示错误，可以判断为服务器端策略出错，更进一步说，很可能是证书出错。需要说明的是，如果在SSL VPN网关下引用自定义服务器端策略必须要导入证书，没有证书的话使用设备缺省服务器端策略（即不引用）。

图 4 首页报错

一般情况下，使用离线证书正确的配置过程为，通过Web导航栏“对象>PKI>证书”进入证书配置页面，点击上方的<新建PKI域>，在弹框里填写域名称ssl2，点击确定。然后点击上方的<导入证书>，选择对应的域名称ssl2，依次导入CA证书和本地证书，其中本地证书一般设有证书口令，注意不要输入错误。

如果证书导入过程中出错，可以参考《H3C安全设备PKI证书安装指导》文档解决（https://zhiliao.h3c.com/Theme/details/20328）。

图 5 新建PKI域

图 6 导入CA证书

图 7 导入本地证书

通过Web导航栏“对象>SSL>服务器端策略”进入配置页面，点击<新建>进入新建服务器端策略弹框，填写策略名称ssl2，引用刚才创建的PKI域ssl2，点击确定后完成。

图 8 新建服务器端策略

上述操作顺利完成后就可以在SSL VPN网关下引用服务器端策略ssl2。如果配置没有问题主页仍然报错，可以通过命令可以查看证书状态。

命令：pki validate-certificate domain domain-name ca

pki validate-certificate domain domain-name local

例如：通过命令查看，可以确认PKI域ssl2的CA证书和Local证书存在且状态正常。

只有CA证书和Local证书的Verify result都是OK的情况下，才判断为证书合法，否则一律判断证书无效。证书无效时，Verify result这里会显示原因，常见的有证书过期等，建议更换证书再做测试。

7、用户是否有资源授权

如果没有配置缺省资源组，又没有资源授权的用户是无法访问任何资源的。如图 9所示，通过浏览器方式，登录SSL VPN用户（h3c），Web资源和TCP资源为空，说明没有授权相应资源。IP接入需要使用inode客户端登录，如果没有任何可用资源，inode客户端也无法拨入，如图 10所示。

图 9 登录用户

图 10 没有授权资源无法拨入inode

8、授权用户资源组

以本地SSL VPN用户的用户名/密码认证为例，通过Web导航栏“对象>用户管理>本地用户”创建本地用户，可用服务里选择SSL VPN类型。在下拉窗口的授权属性里，关联相应的SSL VPN策略组，如图 12所示。

图 11 创建SSL VPN用户

图 12 SSL VPN用户管理策略组

如果使用用户组给SSL VPN用户分类，每个用户组的用户使用相同的资源，可以在用户组的授权属性中关联SSL VPN策略组，并将用户加入对应授权用户组。

图 13 用户组关联SSL VPN策略组

9、是否能访问Web资源

Web接入方式中，所有数据的显示和操作都是通过Web页面进行的。登录SSL VPN首页输入用户名/密码，单击<登录>按钮，可以成功登录SSL VPN网关。网关首页的“书签”栏显示h3c用户可以访问的Web资源ACG，如图 14所示。

单击链接“ACG”，即可访问内网资源ACG，如果访问不了，或者没有Web资源，建议检查Web接入配置。

图 14 访问Web资源

10、检查Web接入配置

Web接入方式下，管理员需要在SSL VPN网关上创建URL列表，URL表项为企业网内部服务器的IP地址（或域名）。通过Web导航栏“网络>SSL VPN>访问实例”新建实例或者编辑已有实例，查看Web业务配置，如图 15所示，新建URL表项ACG，并在URL列表Web里引用表项ACG。

完成Web业务配置后，还需要在资源组pgroup里引用Web资源，如图 16所示：

图 15 Web业务

图 16 Web资源加入资源组

命令行也可以检查Web业务相关配置，配置思路跟Web没有区别。

命令：display current-configuration configuration sslvpn-context

例如：配置完成URL列表Web，在资源组pgroup下引用。

如果确认Web接入配置无误，仍然无法成功跳转资源，可以考虑采用IP接入。

11、是否能访问TCP资源

用户利用TCP接入方式访问内网服务器时，需要在SSL VPN客户端（用户使用的终端设备）上安装专用的TCP接入客户端软件，由该软件实现使用SSL连接传送应用层数据。此外，SSL VPN用户的电脑需要安装Java Runtime Environment version7（JRE7）及其以上版本。

登录SSL VPN首页输入用户名/密码，单击<登录>按钮，可以成功登录SSL VPN网关。在网页的应用程序栏中选择“启动TCP客户端应用程序”，如图 17所示。单击<启动>按钮，下载TCP接入客户端软件并运行。

图 17 启动TCP客户端应用程序

图 18 TCP接入客户端

此时正常情况下，用户在PC上执行telnet 127.0.0.1 23，可以远程连接到Server。如果无法连接，需要检查TCP接入的配置。

如果TCP客户端无法正常启动，可以参考《Comware V7 SSLVPN IP廋客户端接入方式使用指导》。

12、检查TCP接入配置

TCP接入方式下，管理员需要在SSL VPN网关上创建端口转发规则，将企业网内部服务器的IP地址（或域名）和端口号映射为SSL VPN客户端的本地IP地址（或主机名）和本地端口号。

通过Web导航栏“网络>SSL VPN>访问实例”新建实例或者编辑已有实例，查看TCP业务配置，如图 19所示，创建端口转发表项pl,添加端口转发实例，将10.2.0.10提供的Telnet服务映射到本地地址127.0.0.1、本地端口23。

完成TCP业务配置后，还需要在资源组pgroup里引用TCP资源，如图 20所示。

图 19 TCP业务

图 20 TCP资源加入资源组

命令行也可以检查TCP业务相关配置，配置思路跟Web没有区别。

命令：display current-configuration configuration sslvpn-context

例如：配置完成端口转发表项pl，在资源组pgroup下引用。

13、是否能访问IP资源

用户通过IP接入方式访问内网服务器前，需要安装专用的IP接入客户端软件，该客户端软件会在SSL VPN客户端上安装一个虚拟网卡。用户在客户端上安装IP接入客户端软件后，启动该软件并登录。SSL VPN网关对其进行认证和授权。认证、授权通过后，SSL VPN网关为客户端的虚拟网卡分配IP地址，并将授权用户访问的IP接入资源（即路由表项）发送给客户端。客户端为虚拟网卡设置IP地址，并添加路由表项，路由的出接口为虚拟网卡，用户即可访问内网资源。

登录SSL VPN首页输入用户名/密码，单击<登录>按钮，可以成功登录SSL VPN网关。在网页的应用程序栏中选择“启动IP客户端应用程序”，如图 21所示。单击<启动>按钮，下载IP接入客户端软件Svpnclient并安装，安装完成后，启动iNode客户端，输入如图 22所示的参数。

图 21 启动IP客户端应用程序

图 22 iNode客户端

单击<连接>按钮，成功登录SSL VPN客户端，如下图所示：

图 23 成功登录SSL VPN网关

用户IP接入成功后，可以在PC上打印网卡地址信息和路由表信息。

命令：ipconfig /all

route print

例如：如下图所示，用户获取到网关分配的地址192.168.10.2，与网关AC口同网段，并自动获取到内网资源的路由表项10.2.0.0/24。

图 24 用户获取到网关分配地址

图 25 用户获取到网关下发的内网路由表项

14、检查IP接入配置

IP接入方式下，管理员在SSL VPN网关上创建SSL VPN AC接口，并配置下发给SSL VPN客户端的路由表项。通过Web导航栏“网络>SSL VPN>IP接入接口”查看AC口配置，如图 26所示。需要注意AC口需要加入安全域，并且要放通AC口所在安全域到内网安全域的安全策略，如果客户端要ping通AC口还需放通AC口所在安全域到本地的安全策略。