• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ssl vpn不上互联网

2天前提问
  • 0关注
  • 0收藏,145浏览
粉丝:0人 关注:0人

问题描述:

防火墙上开启ssl vpn功能网关是互联网出口的ip,目前拨号成功对方能访问内网与互联网

组网及组网描述:

防火墙上开启ssl vpn功能网关是互联网出口的ip,目前拨号成功对方能访问内网与互联网

4 个回答
粉丝:1人 关注:2人

nat的时候deny掉sslvpn的用户网段

暂无评论

Xcheng 九段
粉丝:132人 关注:3人

如果vpn接入正常检查下安全策略吧


或临时写个any到any放最前面测试下吧

暂无评论

粉丝:10人 关注:0人

您好,根据您的描述,这是一个非常典型的SSL VPN客户端路由或策略问题。核心现象是:​​客户端拨入后,可以访问公司内网,但无法访问互联网(公网)​​。

这意味着SSL VPN隧道本身建立成功,认证和IP地址分配都正常,问题出在数据流量的走向上。

问题根源分析

当VPN客户端拨入后,它的所有流量默认会通过VPN隧道发送到公司防火墙。此时,客户端能否访问互联网,完全取决于防火墙上的策略配置。最常见的原因有以下两个:

  1. 1.​​防火墙策略未放行(最常见)​​:防火墙上有针对SSL VPN用户地址池的安全策略(Policy),这条策略只允许他们访问​​内网网段​​,但没有允许他们访问​​互联网(或任何地址)​​。
  2. 2.​​VPN客户端配置(分流策略)​​:VPN客户端在拨号时,通常有一个设置选项,如 ​​“所有流量都通过VPN”​​ 或 ​​“仅分流访问公司内网的流量”​​ 。如果勾选了“所有流量”,但防火墙又没有放行公网流量,就会导致无法上网。

排查和解决步骤

请您按照以下步骤进行排查,大概率能快速解决问题:

第1步:检查防火墙安全策略(Policy/Rule)

这是最可能的原因。您需要登录防火墙的管理界面,找到控制SSL VPN用户流量出口的安全策略。

  • •​​位置​​:通常在 ​​策略 > 安全策略​​ 或 ​​策略 > 访问控制​​ 等类似菜单中。
  • •​​查找目标策略​​:找到​​源地址(Source)为“SSL VPN用户地址池”​​ 的策略。例如,如果您的VPN用户获取的IP段是 10.8.0.0/24,就找源地址是这个网段的策略。
  • •​​修改策略​​:
    • •您可能会看到两条策略:
      1. 1.一条策略的​​目的地址(Destination)是“内网网段”​​(如 192.168.0.0/16),动作是 允许/Permit
      2. 2.另一条策略的​​目的地址是“任何/ANY”​​,动作是 拒绝/Deny
    • •​​解决方法​​:在“允许访问内网”的策略和“拒绝任何”的策略之间,​​插入一条新的策略​​:
      • •​​源地址​​:SSL VPN用户地址池(如 10.8.0.0/24
      • •​​目的地址​​:任何(ANY)或 !内网网段(表示非内网网段,即互联网)
      • •​​服务​​:ANY
      • •​​动作​​:允许/Permit
  • •​​目的​​:这条新策略明确允许VPN用户的流量去往互联网。

第2步:检查VPN客户端的分流设置(Split Tunnel)

如果您不希望所有VPN用户的互联网流量都经过公司防火墙(这会增加防火墙负载),可以采用更优雅的“分流”模式。

  • ​在防火墙的SSL VPN网关配置中​​:

    • •寻找 ​​“隧道模式”​​、​​“路由设置”​​ 或 ​​“分割隧道(Split Tunnel)”​​ 等选项。
    • •确保这里只推送了​​公司内网的路由​​给客户端,而不是 0.0.0.0/0(默认路由)。
    • •正确的配置应该是:​​“仅访问以下地址时通过VPN隧道”​​,并在列表中填写公司内网的IP网段。
  • ​在用户电脑的VPN客户端软件上​​:

    • •在连接设置或属性中,检查是否有 ​​“使用默认网关在远程网络上”​​ 或 ​​“所有流量都通过VPN”​​ 类似的选项。
    • •​​如果防火墙已正确配置分流,请取消勾选此选项​​。这样,只有访问公司内网的流量会走VPN,访问互联网的流量仍使用用户本地的网络,互不干扰。

第3步:检查DNS解析

有时可能能 ping 通公网IP,但打不开网页,这可能是DNS问题。

  • •确保防火墙DHCP分配给VPN客户端的DNS服务器地址是有效的(如公司内网的DNS服务器或公共DNS 114.114.114.1148.8.8.8)。
  • •客户端可以在命令行中 ipconfig /all 查看获取到的DNS服务器地址,并尝试 nslookup www.baidu.com 看是否能正常解析。

总结与操作顺序

  1. 1.​​首选方案(推荐)​​:配置 ​​“分割隧道(Split Tunnel)”​​ 。即在防火墙VPN设置中​​只推送内网路由​​,并​​取消客户端“所有流量走VPN”的选项​​。这样用户体验最好,互联网流量不走公司防火墙,速度更快,防火墙压力也更小。
  2. 2.​​备用方案​​:如果您确实需要所有VPN流量(包括上网)都经过公司防火墙进行安全审计,那么您​​必须在防火墙上创建一条安全策略,明确允许VPN用户地址池访问“任何(ANY)”目的地址​​。

根据您的描述“对方能访问内网与互联网”,我猜测您可能是要实现​​方案一​​的效果,但当前防火墙策略可能错误地禁止了VPN用户访问互联网,请重点检查​​第1步​​。

建议您先登录防火墙检查策略配置,这有99%的几率是根本原因。

暂无评论

米多 七段
粉丝:5人 关注:0人

估计是你把VT接口放在trust区域了,一般建议把VT接口放在独立的区域,然后通过安全策略来控制可以访问哪里。


暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明