某局点ACG1000系列设备SSL VPN拨号失败的经验案例

某客户局点购买了一台我司的ACG1000系列应用审计网关设备，版本为R6612。

现场使用设备的ge0和ge1接口以路由方式部署在网络中，用户希望设备提供SSL VPN服务，在设备上配置了SSL VPN，并在出口防火墙设备上配置了NAT将ACG的SSLVPN拨号地址192.168.0.1映射为公网地址1.1.1.1，以供互联网用户通过公网地址登录SSL VPN访问内网的Web和FTP服务器。组网如下：

现场用户提供iNode客户端从外网登录测试，

但是一直登录不上SSL VPN，提示“与VPN网关建立连接失败”，具体如下：

首先我们怀疑外网到ACG GE0是否网络可达以及ACG的SSL VPN配置是否正确。

经确认，现场从外网到ACG的GE0口是可以正常访问的，且ACG上关于SSL VPN的配置完全正确，具体配置可以参考官网配置指导：http://www.h3c.com/cn/d_202012/1365173_30005_0.htm

之后经进一步确认，电脑上使用inode软件无法拨入成功，使用ACG配置SSL VPN时并不能使用inode软件拨，应该使用专门的软件拨入，该软件如下：

使用ACG配置SSLVPN时不能使用iNode进行登录，系统使用 “SSL VPN Client” 软件。

“SSL VPN Client”的方法大致如下：

1、打开软件，会自动弹出如下弹窗，

或者右键点击右下角状态栏，点击“新增配置文件”

2、在“增加配置文件”对话框中输入①文件名（可任意命名）②服务器地址（SSL VPN拨号地址，本案例中即为1.1.1.1）③服务器端口（SSL VPN端口，与ACG配置保持一致，默认为1194）

3、接下来右键点击右下角状态栏图标，再点击连接

4、点击连接之后，在弹出的对话框中输入SSL VPN用户名密码，点击“确定”即可。