SSLVPN无法访问内网
- 0关注
- 1收藏,1817浏览
问题描述:
INode 连接进了 获取到了10.1.1.2
但是无法ping通10.1.1.1 但是我手动配置了网关后就能通10.1.1.1
但是无法与192.168.20.0网段的通信
组网及组网描述:
sslvpn context zb
gateway gw domain domainip
ip-tunnel interface SSLVPN-AC1
ip-route-list rtlist
include 192.168.20.0 255.255.255.0
include 192.168.20.250 255.255.255.255
policy-group resourcegrp
filter ip-tunnel 3200
ip-tunnel address-pool sslvpnpool mask 255.255.255.0
ip-tunnel access-route ip-route-list rtlist
service enable
sslvpn ip address-pool sslvpnpool 10.1.1.2 10.1.1.254
local-user sslvpnuser class network
password cipher $c$3$MuQ2QpS7eq4tXenv5nIol3cPGhVCqYzOyQ==
service-type sslvpn
authorization-attribute user-role network-operator
authorization-attribute sslvpn-policy-group resourcegrp
acl advanced 3200
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
- 2021-06-19提问
- 举报
-
(0)
最佳答案
您好,请知:
SSL VPN登录后无法访问内网,以下是排查要点,请参考:
1、检查SSLVPN-AC1接口是否已加入安全域并放通安全策略或域间策略。
2、检查防火墙的路由是否可达。
3、检查VPN网段是否有在路由内向内网发布。
- 2021-06-19回答
- 评论(1)
- 举报
-
(0)
加入了安全域 也放通了策略 内网核心能通VPN网段
是win10系统吗?win10系统建议将inode客户端升级到0536或更高的版本,之前的版本有bug会造成有些时候能连上sslvpn但访问不了内网。
- 2021-06-20回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
security-zone name Trust import interface GigabitEthernet1/0/1 import interface GigabitEthernet1/0/12 # security-zone name DMZ # security-zone name Untrust import interface Dialer1 import interface Dialer2 import interface GigabitEthernet1/0/10 import interface GigabitEthernet1/0/11 import interface GigabitEthernet1/0/14 import interface GigabitEthernet1/0/15 import interface GigabitEthernet1/0/16 import interface GigabitEthernet1/0/17 import interface SSLVPN-AC1 zone-pair security source Untrust destination Untrust packet-filter 2000 zone-pair security source Trust destination Untrust packet-filter 2000 Basic IPv4 ACL 2000, 1 rule, ACL's step is 5 rule 0 permit (103701271 times matched) Advanced IPv4 ACL 3200, 1 rule, ACL's step is 5 rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 (1 times matched)
你没放untrust到trunst呀
zone-pair security source Untrust destination Trust packet-filter 2000
你用AC口地址ping一下内网服务器,ping -a a.b.c.d x.x.x.x 看下是不是内网没有SSL VPN网段路由
[HeXinJiFang-F1020]ping -a 10.1.1.1 192.168.20.1 Ping 192.168.20.1 (192.168.20.1) from 10.1.1.1: 56 data bytes, press CTRL_C to break 56 bytes from 192.168.20.1: icmp_seq=0 ttl=254 time=0.941 ms 56 bytes from 192.168.20.1: icmp_seq=1 ttl=254 time=0.520 ms 56 bytes from 192.168.20.1: icmp_seq=2 ttl=254 time=0.611 ms 56 bytes from 192.168.20.1: icmp_seq=3 ttl=254 time=0.548 ms 56 bytes from 192.168.20.1: icmp_seq=4 ttl=254 time=0.558 ms
那就不晓得了,从现有信息看暂时看不出来别的问题了,找400问问吧
ssl vpn context里面加一个默认的策略组试试default-policy-group
加不进去
(9) 指定某个策略组为缺省策略组。 default-policy-group group-name 缺省情况下,没有指定缺省策略组。