防火墙ssl vpn拨入后访问不了内网

不涉及

防火墙F1000-ak作为sslvpn网关   ip接入方式，拨号已经成功，但是访问不了内网业务资源。

1.排查ac口是否加入了安全域中，安全策略是否放通.
排查无问题。



2.排查防火墙AC口到内网业务地址，和内网地址到ac口是否可通信。
可通信无问题。

#配置中配置路由列表无问题
sslvpn context ss
gateway ssl
ip-tunnel interface SSLVPN-AC0
ip-tunnel address-pool sslpool mask 255.255.255.0
ip-tunnel dns-server primary 192.168.9.210
ip-tunnel dns-server secondary 223.5.5.5
ip-route-list 1
include 192.168.9.0 255.255.255.0

3.外网终端也可以获取到了sslvpn地址池内的地址
无问题


4.查看内网接口配置应用有策略路由
内网口

最后排查是由于：内网口是否有策略路由等将回程报文错误的转发到其他接口，导致报文丢弃。
优化方法：
发现配置策略路由有3个node节点

第一个node节点匹配了acl 3997，发现3997中匹配有一个内网地址。
由于pbr的策略是由上往下依次匹配，因此在acl 3997中再添加一条rule规则匹配内网9.253后问解决、