您好,根据您的描述,这是一个非常典型的SSL VPN客户端路由或策略问题。核心现象是:客户端拨入后,可以访问公司内网,但无法访问互联网(公网)。
这意味着SSL VPN隧道本身建立成功,认证和IP地址分配都正常,问题出在数据流量的走向上。
问题根源分析
当VPN客户端拨入后,它的所有流量默认会通过VPN隧道发送到公司防火墙。此时,客户端能否访问互联网,完全取决于防火墙上的策略配置。最常见的原因有以下两个:
- 1.防火墙策略未放行(最常见):防火墙上有针对SSL VPN用户地址池的安全策略(Policy),这条策略只允许他们访问内网网段,但没有允许他们访问互联网(或任何地址)。
- 2.VPN客户端配置(分流策略):VPN客户端在拨号时,通常有一个设置选项,如 “所有流量都通过VPN” 或 “仅分流访问公司内网的流量” 。如果勾选了“所有流量”,但防火墙又没有放行公网流量,就会导致无法上网。
排查和解决步骤
请您按照以下步骤进行排查,大概率能快速解决问题:
第1步:检查防火墙安全策略(Policy/Rule)
这是最可能的原因。您需要登录防火墙的管理界面,找到控制SSL VPN用户流量出口的安全策略。
- •位置:通常在 策略 > 安全策略 或 策略 > 访问控制 等类似菜单中。
- •查找目标策略:找到源地址(Source)为“SSL VPN用户地址池” 的策略。例如,如果您的VPN用户获取的IP段是
10.8.0.0/24
,就找源地址是这个网段的策略。 - •修改策略:
- •您可能会看到两条策略:
- 1.一条策略的目的地址(Destination)是“内网网段”(如
192.168.0.0/16
),动作是 允许/Permit
。 - 2.另一条策略的目的地址是“任何/ANY”,动作是
拒绝/Deny
。
- •解决方法:在“允许访问内网”的策略和“拒绝任何”的策略之间,插入一条新的策略:
- •源地址:SSL VPN用户地址池(如
10.8.0.0/24
) - •目的地址:任何(
ANY
)或 !内网网段
(表示非内网网段,即互联网) - •服务:
ANY
- •动作:
允许/Permit
- •目的:这条新策略明确允许VPN用户的流量去往互联网。
第2步:检查VPN客户端的分流设置(Split Tunnel)
如果您不希望所有VPN用户的互联网流量都经过公司防火墙(这会增加防火墙负载),可以采用更优雅的“分流”模式。
- •
在防火墙的SSL VPN网关配置中:
- •寻找 “隧道模式”、“路由设置” 或 “分割隧道(Split Tunnel)” 等选项。
- •确保这里只推送了公司内网的路由给客户端,而不是
0.0.0.0/0
(默认路由)。 - •正确的配置应该是:“仅访问以下地址时通过VPN隧道”,并在列表中填写公司内网的IP网段。
- •
在用户电脑的VPN客户端软件上:
- •在连接设置或属性中,检查是否有 “使用默认网关在远程网络上” 或 “所有流量都通过VPN” 类似的选项。
- •如果防火墙已正确配置分流,请取消勾选此选项。这样,只有访问公司内网的流量会走VPN,访问互联网的流量仍使用用户本地的网络,互不干扰。
第3步:检查DNS解析
有时可能能 ping
通公网IP,但打不开网页,这可能是DNS问题。
- •确保防火墙DHCP分配给VPN客户端的DNS服务器地址是有效的(如公司内网的DNS服务器或公共DNS
114.114.114.114
, 8.8.8.8
)。 - •客户端可以在命令行中
ipconfig /all
查看获取到的DNS服务器地址,并尝试 nslookup www.baidu.com
看是否能正常解析。
总结与操作顺序
- 1.首选方案(推荐):配置 “分割隧道(Split Tunnel)” 。即在防火墙VPN设置中只推送内网路由,并取消客户端“所有流量走VPN”的选项。这样用户体验最好,互联网流量不走公司防火墙,速度更快,防火墙压力也更小。
- 2.备用方案:如果您确实需要所有VPN流量(包括上网)都经过公司防火墙进行安全审计,那么您必须在防火墙上创建一条安全策略,明确允许VPN用户地址池访问“任何(ANY)”目的地址。
根据您的描述“对方能访问内网与互联网”,我猜测您可能是要实现方案一的效果,但当前防火墙策略可能错误地禁止了VPN用户访问互联网,请重点检查第1步。
建议您先登录防火墙检查策略配置,这有99%的几率是根本原因。
暂无评论