SECPATH F1000-AK115+SSL VPN配置

检查下安全策略是不是相应端口做了限制

这是一个非常典型的“能通不能访”场景。问题通常出在防火墙安全策略或路由回指上，而不是SSL VPN隧道本身。

 问题定位：为什么能通不能访？

“能通”说明SSL VPN的隧道建立、地址分配、路由下发都是正常的。“不能访”则说明业务流量在到达内网服务器后，回程时被拦截或迷路了。

根据H3C官方社区的多个案例，最常见的原因是以下四点，请按顺序排查：

 详细排查与解决步骤

1️⃣ 基础验证：从防火墙ping内网服务器

这是最直接的判断方式，能帮你确认防火墙本身到内网服务器是否通。

• 如果通：继续下一步。

2️⃣ 关键检查：SSL-AC接口的安全域和安全策略

SSL VPN解封装后的报文会被识别为从 SSLVPN-AC1 接口收到。如果这个接口没加入安全域，或者没放行它到内网的安全策略，报文会被直接丢弃。

• 检查AC接口是否加入安全域：

  display security-zone确认 SSLVPN-AC1 接口已加入某个域（如 Trust）。如果没有，需要加入：
  system-view security-zone name Trust import interface SSLVPN-AC1
• 检查安全策略：

• 需要放行 AC接口所在域 → 内网服务器所在域 的策略。假设AC接口在Trust域，内网服务器在Trust域，你可能需要放行 Trust → Trust；如果内网服务器在DMZ域，则需要放行 Trust → DMZ。

3️⃣ 核心问题：内网服务器的回程路由

这是最容易被忽略的地方。你的VPN客户端地址是 10.10.10.0/24 网段，当内网服务器（如192.168.1.4）收到来自10.10.10.2的访问请求时，它需要知道如何回包。

• 如果内网服务器的网关是防火墙：需要在防火墙上添加一条回程路由，告诉内网服务器把包还给防火墙即可，防火墙会自动处理。

• 如果内网服务器的网关是核心交换机：必须在核心交换机上添加一条静态路由，目的为 10.10.10.0/24，下一跳指向防火墙的内网接口IP。

4️⃣ 特殊案例：地址池与AC接口冲突

有官方案例显示，如果SSL VPN地址池范围包含了SSLVPN-AC接口的IP，会导致业务访问异常。

• 检查你的地址池配置：

  display sslvpn ip address-pool
• 检查AC接口IP：
• display interface SSLVPN-AC1解决方法：确保地址池范围不包含AC接口的IP地址。

5️⃣ 资源组和ACL检查

确认你在SSL VPN策略组中下发的资源列表（ip-route-list）是否正确包含了内网网段（如192.168.1.0/24）。同时检查是否配置了filter ip-tunnel acl，如果ACL规则过严，可能会拦截业务端口。

 常用检查命令汇总

登录防火墙，执行以下命令快速定位问题：