ssl vpn不上互联网

nat的时候deny掉sslvpn的用户网段

如果vpn接入正常检查下安全策略吧

或临时写个any到any放最前面测试下吧

您好，根据您的描述，这是一个非常典型的SSL VPN客户端路由或策略问题。核心现象是：​​客户端拨入后，可以访问公司内网，但无法访问互联网（公网）​​。

这意味着SSL VPN隧道本身建立成功，认证和IP地址分配都正常，问题出在数据流量的走向上。

问题根源分析

当VPN客户端拨入后，它的所有流量默认会通过VPN隧道发送到公司防火墙。此时，客户端能否访问互联网，完全取决于防火墙上的策略配置。最常见的原因有以下两个：

1. 1.​​防火墙策略未放行（最常见）​​：防火墙上有针对SSL VPN用户地址池的安全策略（Policy），这条策略只允许他们访问​​内网网段​​，但没有允许他们访问​​互联网（或任何地址）​​。
2. 2.​​VPN客户端配置（分流策略）​​：VPN客户端在拨号时，通常有一个设置选项，如 ​​“所有流量都通过VPN”​​ 或 ​​“仅分流访问公司内网的流量”​​ 。如果勾选了“所有流量”，但防火墙又没有放行公网流量，就会导致无法上网。

排查和解决步骤

请您按照以下步骤进行排查，大概率能快速解决问题：

第1步：检查防火墙安全策略（Policy/Rule）

这是最可能的原因。您需要登录防火墙的管理界面，找到控制SSL VPN用户流量出口的安全策略。

• •​​位置​​：通常在 ​​策略 > 安全策略​​ 或 ​​策略 > 访问控制​​ 等类似菜单中。
• •​​查找目标策略​​：找到​​源地址（Source）为“SSL VPN用户地址池”​​ 的策略。例如，如果您的VPN用户获取的IP段是 10.8.0.0/24，就找源地址是这个网段的策略。
• •​​修改策略​​：
  • •您可能会看到两条策略：
    1. 1.一条策略的​​目的地址（Destination）是“内网网段”​​（如 192.168.0.0/16），动作是 允许/Permit。
    2. 2.另一条策略的​​目的地址是“任何/ANY”​​，动作是 拒绝/Deny。
  • •​​解决方法​​：在“允许访问内网”的策略和“拒绝任何”的策略之间，​​插入一条新的策略​​：
    • •​​源地址​​：SSL VPN用户地址池（如 10.8.0.0/24）
    • •​​目的地址​​：任何（ANY）或 !内网网段（表示非内网网段，即互联网）
    • •​​服务​​：ANY
    • •​​动作​​：允许/Permit
• •​​目的​​：这条新策略明确允许VPN用户的流量去往互联网。

第2步：检查VPN客户端的分流设置（Split Tunnel）

如果您不希望所有VPN用户的互联网流量都经过公司防火墙（这会增加防火墙负载），可以采用更优雅的“分流”模式。

• •

  ​​在防火墙的SSL VPN网关配置中​​：

  • •寻找 ​​“隧道模式”​​、​​“路由设置”​​ 或 ​​“分割隧道（Split Tunnel）”​​ 等选项。
  • •确保这里只推送了​​公司内网的路由​​给客户端，而不是 0.0.0.0/0（默认路由）。
  • •正确的配置应该是：​​“仅访问以下地址时通过VPN隧道”​​，并在列表中填写公司内网的IP网段。
• •

  ​​在用户电脑的VPN客户端软件上​​：

  • •在连接设置或属性中，检查是否有 ​​“使用默认网关在远程网络上”​​ 或 ​​“所有流量都通过VPN”​​ 类似的选项。
  • •​​如果防火墙已正确配置分流，请取消勾选此选项​​。这样，只有访问公司内网的流量会走VPN，访问互联网的流量仍使用用户本地的网络，互不干扰。

第3步：检查DNS解析

有时可能能 ping 通公网IP，但打不开网页，这可能是DNS问题。

• •确保防火墙DHCP分配给VPN客户端的DNS服务器地址是有效的（如公司内网的DNS服务器或公共DNS 114.114.114.114, 8.8.8.8）。
• •客户端可以在命令行中 ipconfig /all 查看获取到的DNS服务器地址，并尝试 nslookup www.baidu.com 看是否能正常解析。

总结与操作顺序

1. 1.​​首选方案（推荐）​​：配置 ​​“分割隧道（Split Tunnel）”​​ 。即在防火墙VPN设置中​​只推送内网路由​​，并​​取消客户端“所有流量走VPN”的选项​​。这样用户体验最好，互联网流量不走公司防火墙，速度更快，防火墙压力也更小。
2. 2.​​备用方案​​：如果您确实需要所有VPN流量（包括上网）都经过公司防火墙进行安全审计，那么您​​必须在防火墙上创建一条安全策略，明确允许VPN用户地址池访问“任何（ANY）”目的地址​​。

根据您的描述“对方能访问内网与互联网”，我猜测您可能是要实现​​方案一​​的效果，但当前防火墙策略可能错误地禁止了VPN用户访问互联网，请重点检查​​第1步​​。

建议您先登录防火墙检查策略配置，这有99%的几率是根本原因。

估计是你把VT接口放在trust区域了，一般建议把VT接口放在独立的区域，然后通过安全策略来控制可以访问哪里。