不涉及
防火墙F1000-ak作为sslvpn网关 ip接入方式,拨号已经成功,但是访问不了内网业务资源。
1.排查ac口是否加入了安全域中,安全策略是否放通.
排查无问题。
2.排查防火墙AC口到内网业务地址,和内网地址到ac口是否可通信。
可通信无问题。
#配置中配置路由列表无问题
sslvpn context ss
gateway ssl
ip-tunnel interface SSLVPN-AC0
ip-tunnel address-pool sslpool mask 255.255.255.0
ip-tunnel dns-server primary 192.168.9.210
ip-tunnel dns-server secondary 223.5.5.5
ip-route-list 1
include 192.168.9.0 255.255.255.0
3.外网终端也可以获取到了sslvpn地址池内的地址
无问题
4.查看内网接口配置应用有策略路由
内网口
最后排查是由于:内网口是否有策略路由等将回程报文错误的转发到其他接口,导致报文丢弃。
优化方法:
发现配置策略路由有3个node节点
第一个node节点匹配了acl 3997,发现3997中匹配有一个内网地址。
由于pbr的策略是由上往下依次匹配,因此在acl 3997中再添加一条rule规则匹配内网9.253后问解决、
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作