组网及说明
无
问题描述
现场使用V7 防火墙作为sslvpn网关,冗余主备部署,ip接入方式,拨号已经成功,终端获取到了sslvpn地址池内的地址,现场疑问:
1.在终端查看虚拟网卡信息发现没有网关信息,查看路由表有到内网资源的路由,但没有下一跳,只有出接口,且出接口为自己获取到的sslvpn地址;
2.ping ac接口地址不通;
3.ping内网资源不通
过程分析
ping 内网不通时,在防火墙上查看会话发现为空,
那么有可能是以下几种情况:
1、安全策略没放通
查看现场配置,ac接口加入了untrust安全域,且放通了untrust到local域、untrust到trust的安全策略,此条排除
#
security-zone name Untrust
import interface SSLVPN-AC1
#
security-policy ip
rule 1 name local_to_untrust
action pass
source-zone local
source-zone untrust
destination-zone untrust
destination-zone local
rule 3 name trust_to_untrust
action pass
source-zone trust
source-zone untrust
destination-zone untrust
destination-zone trust
2.sslvpn实例中的filter ip -tunnel没有放通内网资源地址或route-list下发不正确
检查配置,route-list中需要访问的内网资源均已添加,pc上route print已能查看到对应内网网段的路由表,filter ip-tunnel中的acl放通了到内网资源的地址段,所以此条也排除
ip-route-list rtlist
include 10.x 255.255.255.128
include 10.x 255.255.255.128
include 10.x 255.255.254.0
include 172.x 255.255.255.0
include 172.x 255.255.255.0
include 172.x 255.255.255.0
3.内网资源没有回程路由
如果内网没有回到防火墙ac接口的路由,那么也可能导致访问内网资源不通,因为sslvpn流量需要经过ac接口封装/解封装
在内网服务器上ping防火墙ac接口地址,不通,检查内网路由,发现服务器确实没有回到ac接口的路由,问题点找到了。
另外需要注意的是,sslvpn ip接入方式相当于拨号成功后直接给客户端下发路由表,授予访问资源的权限,不下发网关地址,所以在终端上看没有网关地址是正常的;
而除了下发的路由列表之外,控制sslvpn终端访问权限的方式还有实例下配置filter ip-tunnel acl,如果在这个acl中没有放通ac接口的地址,那么终端拨号后ping不通ac口地址是正常现象,不影响访问内网资源,如果需要ping通ac接口,则将ac接口地址在acl中放通即可
解决方法
总结一下,sslvpn拨号后无法访问内网有如下几种排查思路:
1、检查ac口是否加入安全域,是否放通ac口的安全域到内网的安全策略?如需ping通ac口地址,还需放通ac口的安全域到local的安全策略;
2、sslvpn 实例中的路由列表是否正确下发,终端上是否能查看到对应网段的路由表;
3、sslvpn实例中的filter ip-tunnel acl是否正确授予访问内网资源的权限,如需ping通ac口地址,还需在acl中放通ac接口地址;
4、内网资源是否有到防火墙ac口的回程路由,内网口是否有策略路由等将回包错误的转发到其他接口导致丢弃?
0
个评论
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖