SSLVPN访问不了内网

使用iNode智能客户端可以登录上 ，也能获取到IP，可以ping通SSLVPN的网关，就是不能ping通业务地址。

acl上面的规则也能对应上。

10.10.10.1是防火墙的地址，我做了一个测试，我将这个地址也写入了SSLVPN的路由里面，结果是可以ping通。但是10.10.10.2为ACG的地址，这个地址就不能够ping通。

防火墙型号为SecPath F1020 ，version 7.1.064, Demo 9310P08

sslvpn ip address-pool sslvpnpool 172.24.100.2 172.24.100.254

sslvpn gateway gw

 ip address XXXXXXXXX port 4430 

 service enable

sslvpn context zb  

gateway gw domain domainip 

 ip-tunnel interface SSLVPN-AC2 

 ip-route-list rtlist 

 include 10.10.10.0 255.255.255.0 

 include 192.168.20.0 255.255.255.0 

 include 192.168.20.250 255.255.255.255 

 include 192.168.20.251 255.255.255.255 

 policy-group resourcegrp 

 filter ip-tunnel 3901 

 ip-tunnel address-pool sslvpnpool mask 255.255.255.0 

 ip-tunnel access-route ip-route-list rtlist 

 service enable

Advanced IPv4 ACL 3901, 2 rules, 

ACL's step is 5 

 rule 1 permit ip source 172.24.100.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 (216 times matched) 

 rule 2 permit ip source 172.24.100.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 (310 times matched) 

SSLVPN-AC2加入了域，域间策略也是放通了所有

local-user XXXX class network 

 password cipher XXXX 

 service-type sslvpn 

 authorization-attribute user-role 15 

 authorization-attribute user-role network-operator 

 authorization-attribute sslvpn-policy-group resourcegrp

Total users: 1 SSL VPN 

context: zb 

Users: 1 

User name 

 User IP address Created 

sslvpnuser XXXXXXXXX

 00:06:30

连接示意图：

防火墙--ACG--交换机  之间是静态路由

192.168.20.0段在交换机上