• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SSLVPN访问不了内网

2021-09-13提问
  • 0关注
  • 1收藏,1914浏览
重云 二段
粉丝:0人 关注:0人

问题描述:

使用iNode智能客户端可以登录上 ,也能获取到IP,可以ping通SSLVPN的网关,就是不能ping通业务地址。


acl上面的规则也能对应上。


10.10.10.1是防火墙的地址,我做了一个测试,我将这个地址也写入了SSLVPN的路由里面,结果是可以ping通。但是10.10.10.2为ACG的地址,这个地址就不能够ping通。


防火墙型号为SecPath F1020 ,version 7.1.064, Demo 9310P08



组网及组网描述:

sslvpn ip address-pool sslvpnpool 172.24.100.2 172.24.100.254


sslvpn gateway gw

 ip address XXXXXXXXX port 4430 

 service enable


sslvpn context zb  

gateway gw domain domainip 

 ip-tunnel interface SSLVPN-AC2 

 ip-route-list rtlist 

 include 10.10.10.0 255.255.255.0 

 include 192.168.20.0 255.255.255.0 

 include 192.168.20.250 255.255.255.255 

 include 192.168.20.251 255.255.255.255 

 policy-group resourcegrp 

 filter ip-tunnel 3901 

 ip-tunnel address-pool sslvpnpool mask 255.255.255.0 

 ip-tunnel access-route ip-route-list rtlist 

 service enable


Advanced IPv4 ACL 3901, 2 rules, 

ACL's step is 5 

 rule 1 permit ip source 172.24.100.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 (216 times matched) 

 rule 2 permit ip source 172.24.100.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 (310 times matched) 


SSLVPN-AC2加入了域,域间策略也是放通了所有


local-user XXXX class network 

 password cipher XXXX 

 service-type sslvpn 

 authorization-attribute user-role 15 

 authorization-attribute user-role network-operator 

 authorization-attribute sslvpn-policy-group resourcegrp


Total users: 1 SSL VPN 

context: zb 

Users: 1 

User name 

 User IP address Created 

sslvpnuser XXXXXXXXX

 00:06:30


连接示意图:

防火墙--ACG--交换机  之间是静态路由

192.168.20.0段在交换机上


最佳答案

粉丝:27人 关注:0人

放通了ac口到内网的策略了没?另外这版本也太老了

这个版本低 会不会影响到这个

重云 发表时间:2021-09-13 更多>>

AC口加入了Untrust域 Untrust-Trust之间是放通了的

重云 发表时间:2021-09-13

这个版本低 会不会影响到这个

重云 发表时间:2021-09-13
3 个回答
粉丝:167人 关注:1人

1、策略

2、路由

AC地址可以直接ping通下面的业务地址,就是连接了这个VPN的ping不通

重云 发表时间:2021-09-13 更多>>

AC地址可以直接ping通下面的业务地址,就是连接了这个VPN的ping不通

重云 发表时间:2021-09-13
粉丝:29人 关注:9人

inode客户端升级一下试试。防火墙版本升级一下试试。

粉丝:22人 关注:11人

这种demo版本还是升级下吧,另外你acg可能接口禁ping了

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明