• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

M9KX06sslvpn问题

2025-01-23提问
  • 0关注
  • 0收藏,654浏览
粉丝:0人 关注:0人

问题描述:

防火墙sslvpn能够正常拨入但是无法访问内网资源,查看pc已有路由表下发,但是只能ping通192.168.123.254的网关无法ping通5.24.1.0网段地址,防火墙侧只能ping通192.168.123.254无法ping通192.168.123.1,具体如何实现访问内网资源,pc侧防火墙已关闭

 

 

interface Route-Aggregation1.403

 description FOR-SSLVPN

 ip address 116.148.180.126 255.255.255.252

 vlan-type dot1q vid 403

#

interface M-GigabitEthernet0/0/0

 ip binding vpn-instance CDN_MGMN

 ip address 5.24.1.4 255.255.255.128

#

#

security-zone name Trust

 import interface Route-Aggregation1.402

#

security-zone name DMZ

#

security-zone name Untrust

 import interface Route-Aggregation1.401

 import interface Route-Aggregation1.403

 import interface SSLVPN-AC1

#

security-zone name Management

 import interface M-GigabitEthernet0/0/0

 import interface M-GigabitEthernet0/0/1

#

#

line vty 0 63  

 authentication-mode scheme

 user-role network-admin

 user-role network-operator

 idle-timeout 60 0

#

line vty 64 1023

 user-role network-operator

#

 ip route-static 0.0.0.0 0 Route-Aggregation1.401 172.16.1.1

 ip route-static 116.148.180.0 24 Route-Aggregation1.402 172.16.2.1

 ip route-static vpn-instance CDN_MGMN 0.0.0.0 0 5.24.1.1

 ipv6 route-static :: 0 Route-Aggregation1.401 FEC0::64

 ipv6 route-static 2408:8640:24FF:13:: 64 Route-Aggregation1.402 FEC0::66

#

#

sslvpn ip address-pool SSLVPN-POOL 192.168.123.1 192.168.123.10

#

sslvpn gateway ssl_gatway

 ip address 116.148.180.126 port 6443

 service enable

#

sslvpn context sslvpn

 gateway ssl_gatway domain domainip

 ip-tunnel interface SSLVPN-AC1

 ip-tunnel address-pool SSLVPN-POOL mask 255.255.255.0

 ip-tunnel dns-server primary 114.114.114.114

 ip-tunnel dns-server secondary 8.8.8.8

 web-access ip-client auto-activate

 ip-route-list rlist

  include 5.24.1.0 255.255.255.128

  include 116.148.180.0 255.255.255.128

 policy-group nbcdn-any

  ip-tunnel access-route ip-route-list rlist

  ip-tunnel address-pool SSLVPN-POOL mask 255.255.255.0

 verify-code enable

 log user-login enable

 log resource-access enable

 force-logout max-onlines enable

 service enable

#

security-policy ip

 rule 0 name ANY-Local

  action pass

  destination-zone Local

 rule 1 name Local-ANY

  action pass

  source-zone Local

最佳答案

Admin 四段
粉丝:11人 关注:0人

  • 路由问题

    • 确认下发的路由表是否完全正确,尤其是5.24.1.0/24网段的路由是否正确。根据您提供的配置,您有一条静态路由 ip route-static vpn-instance CDN_MGMN 0.0.0.0 0 5.24.1.1,这应该指向5.24.1.1网关,但并没有明确说明5.24.1.0网段的路由。
    • 请检查该网段的路由是否正确。如果是跨VPN实例的流量,可能需要额外的路由配置。
  • VPN隧道配置

    • sslvpn context sslvpn部分,有一个 ip-tunnel address-pool SSLVPN-POOL mask 255.255.255.0 的配置,它指定了VPN客户端的IP池,但没有看到具体配置SSLVPN隧道的路由,这可能导致VPN客户端能获取IP地址,但流量没有正确地通过VPN隧道路由到目标网段。
  • 安全策略问题

    • security-policy 的规则没有明确规定允许SSLVPN的流量通过。例如,rule 1 name Local-ANY 仅允许源是“Local”区域的流量通过,而没有针对SSLVPN客户端流量的策略。请确认防火墙有针对SSLVPN流量的规则。
  • SSLVPN配置中的网络访问路由

    • sslvpn context sslvpn 部分,您定义了 include 5.24.1.0 255.255.255.128,这意味着VPN客户端访问5.24.1.0网段时应该经过该规则,但如果路由或访问控制未生效,可能会导致无法访问。
  • 4 个回答
    Xcheng 九段
    粉丝:132人 关注:3人

    摇人吧


    配置不全/不合理。仔细检查调整看看吧


    另外能买这么高端设备局点也不一般,尽快找专业渠道处理吧

    粉丝:100人 关注:9人

    安全策略全放一下试试

    动不动就全any?

    Admin 发表时间:2025-01-23 更多>>

    动不动就全any?

    Admin 发表时间:2025-01-23
    粉丝:8人 关注:0人

    ac口加域,并放通AC到内网

    你的配置没看到这部分

    米多 七段
    粉丝:5人 关注:0人

    框式防火墙需要做引流的,

    最简单的办法就是防火墙接内网的接口要配置NAT,把ssl地址转为内网地址

    M9000的L2TP没做过,好像只有ssl需要引流。

    米多 发表时间:2025-01-24 更多>>

    有案例吗?

    zhiliao_nozkdM 发表时间:2025-01-23

    接口nat outbound acl 3000 acl 写NAT地址池的

    米多 发表时间:2025-01-23

    做L2VPN需要引流吗?

    zhiliao_nozkdM 发表时间:2025-01-23

    M9000的L2TP没做过,好像只有ssl需要引流。

    米多 发表时间:2025-01-24

    编辑答案

    你正在编辑答案

    如果你要对问题或其他回答进行点评或询问,请使用评论功能。

    分享扩散:

    提出建议

      +

    亲~登录后才可以操作哦!

    确定

    亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

    注册后可访问此模块

    跳转hclhub

    你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

    举报

    ×

    侵犯我的权益 >
    对根叔社区有害的内容 >
    辱骂、歧视、挑衅等(不友善)

    侵犯我的权益

    ×

    泄露了我的隐私 >
    侵犯了我企业的权益 >
    抄袭了我的内容 >
    诽谤我 >
    辱骂、歧视、挑衅等(不友善)
    骚扰我

    泄露了我的隐私

    ×

    您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
    • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
    • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

    侵犯了我企业的权益

    ×

    您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
    • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
    • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
    • 3. 是哪家企业?(营业执照,单位登记证明等证件)
    • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
    我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

    抄袭了我的内容

    ×

    原文链接或出处

    诽谤我

    ×

    您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
    • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
    • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
    我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

    对根叔社区有害的内容

    ×

    垃圾广告信息
    色情、暴力、血腥等违反法律法规的内容
    政治敏感
    不规范转载 >
    辱骂、歧视、挑衅等(不友善)
    骚扰我
    诱导投票

    不规范转载

    ×

    举报说明