sslvpn连上去后,无法访问内网
- 0关注
- 0收藏,85浏览
1. 检查SSL VPN网关配置:
display ip interface brief | include SSL
display sslvpn gateway
display sslvpn ip address-pool
确认网关IP可达,地址池配置正确且未耗尽。
2. 检查路由:
display ip routing-table
display sslvpn route
确认设备上存在去往内网网段的路由,且SSL VPN路由发布正确。
3. 检查策略与安全域:
display security-zone
display zone-pair security
display policy-based-route
确认SSL VPN客户端所在安全域(通常为`SSLVPN`域)到内网服务器所在安全域(如`Trust`域)的域间策略已放行所需流量。检查是否存在策略路由影响。
4. 检查NAT豁免:
display nat policy
确认SSL VPN地址池到内网的访问流量未被NAT转换(通常需要配置NAT豁免)。
5. 检查客户端路由:
在已连接的客户端上执行`ipconfig /all` (Windows) 或 `ifconfig` (Linux/macOS),确认已成功获取到虚拟IP,并检查客户端路由表,看目标内网网段是否通过隧道路由。
常见原因:
域间安全策略未放行。
缺少去往内网网段的路由。
SSL VPN地址池被错误地进行了NAT转换。
客户端与网关版本/参数不兼容。
信息补充:
请提供以下信息以便更精确分析:
1. 内网目标网段是什么?
2. `display sslvpn session` 查看会话状态是否正常。
3. 设备上相关域间策略的配置。
设的IP是20.20.20.20 目标网段是192.168.1.10 会话状态正常。。
既然客户端已经能拨号成功,说明SSL VPN网关的基本配置是没问题的。问题很可能出在数据包到达防火墙后,无法被正确转发到内网,或者内网的回程数据包被防火墙拦截了。
排查步骤
1. 检查SSLVPN-AC虚接口是否加入了正确的安全域
SSL VPN拨号成功后,客户端的流量会从虚拟的SSLVPN-AC接口进入防火墙。
问题点:如果
SSLVPN-AC接口没有加入任何安全域,或者加入的安全域没有配置放行策略,流量会被防火墙默认拒绝。解决方法(CLI示例):
进入系统视图。
将
SSLVPN-AC接口加入一个安全域(例如Trust域),或者创建一个新的域。
security-zone name Trust import interface SSLVPN-AC 1 quitsystem-view
2. 检查并放通安全策略
这是最关键的一步。在H3C Comware V7防火墙中,安全策略默认是拒绝所有流量的。你必须明确创建策略来允许VPN用户访问内网。
问题点:缺少从
SSLVPN-AC接口所在域(如Trust)到内网接口所在域(通常也是Trust)的安全策略。解决方法(CLI示例):假设你的VPN用户地址池是
172.16.1.0/24,内网服务器网段是192.168.1.0/24。# 创建一条安全策略,从Trust域到Trust域,允许VPN用户访问内网 security-policy ip rule name permit_sslvpn_to_inside source-zone Trust destination-zone Trust source-address 172.16.1.0 24 destination-address 192.168.1.0 24 action pass quitsystem-view
3. 检查SSL VPN策略中是否包含了内网路由
你在SSL VPN的上下文中,需要明确告诉客户端,访问哪些内网地址段时,流量要走VPN隧道。
问题点:
ip-route-list中缺少你想要访问的内网网段。解决方法(CLI示例):在
sslvpn context视图下,检查并添加内网路由。sslvpn context your-context-name ip-route-list your-route-list-name # 添加需要访问的内网网段,例如192.168.1.0/24 include 192.168.1.0 24 quit # 确保这个路由列表被应用到了策略组 policy-group ip ip-tunnel access-route ip-route-list your-route-list-namesystem-view
4. 检查内网设备是否有正确的回程路由
这是一个很容易忽略的点。VPN客户端的数据包到达防火墙后,防火墙会转发给内网服务器。但内网服务器回复数据包时,需要知道如何把包发给防火墙。
问题点:内网服务器的网关可能不是防火墙,或者核心交换机上没有指向VPN客户端地址池的路由。
解决方法:
确保内网服务器的网关指向了防火墙的内网接口IP。
如果内网还有其他三层交换机,需要在核心交换机上添加一条静态路由,目标为VPN地址池(如
172.16.1.0/24),下一跳指向防火墙的内网接口IP。
5. 检查源NAT策略
如果你希望通过VPN访问的内网服务器,其网关不是这台防火墙,或者内网有其他防火墙,可能需要在防火墙出接口做源NAT。
问题点:防火墙将VPN用户的私网IP(
172.16.1.x)直接转发到内网,但内网设备没有回程路由,导致通信失败。解决方法:在防火墙连接内网的接口上,对VPN网段做源地址转换,将其转换为防火墙的内网接口IP。同时,如果原有的NAT策略中绑定了ACL,别忘了将VPN地址段也加入允许列表。
interface GigabitEthernet1/0/2 # 假设这是连接内网的接口 nat outbound 3000 # 假设ACL 3000定义了需要做NAT的源地址 quit # 在ACL 3000中添加VPN地址段 acl advanced 3000 rule 5 permit ip source 172.16.1.0 0.0.0.255# 在NAT出接口上配置
6. 检查策略路由
如果你在内网接口上配置了策略路由(PBR),需要特别注意。
问题点:内网接口的策略路由可能将来自VPN用户的回程报文错误地转发到了其他接口或下一跳,导致报文丢失。
解决方法:检查内网接口下是否应用了策略路由。如果有,确保策略路由的匹配规则不会匹配到来自VPN用户(
172.16.1.x)的流量,或者为VPN流量单独添加一条允许放行的策略。
看起来好复杂(没看懂)。我是用网页版创建的。。
看起来好复杂(没看懂)。我是用网页版创建的。。
您好,看下路由
0.0.0.0 0Static60116.7.229.73GE1/0/4 0.0.0.0 0Static60183.239.177.5GE1/0/5 0.0.0.0 32Direct0127.0.0.1InLoop0 20.20.20.0 24Direct020.20.20.1SSLVPN-AC1 20.20.20.0 32Direct020.20.20.1SSLVPN-AC1 20.20.20.1 32Direct0127.0.0.1InLoop0 20.20.20.255 32Direct020.20.20.1SSLVPN-AC1 116.7.229.72 29Direct0116.7.229.78GE1/0/4 116.7.229.72 32Direct0116.7.229.78GE1/0/4 116.7.229.78 32Direct0127.0.0.1InLoop0
客户端的还是防火墙的?
0.0.0.0 0Static60116.7.229.73GE1/0/4 0.0.0.0 0Static60183.239.177.5GE1/0/5 0.0.0.0 32Direct0127.0.0.1InLoop0 20.20.20.0 24Direct020.20.20.1SSLVPN-AC1 20.20.20.0 32Direct020.20.20.1SSLVPN-AC1 20.20.20.1 32Direct0127.0.0.1InLoop0 20.20.20.255 32Direct020.20.20.1SSLVPN-AC1 116.7.229.72 29Direct0116.7.229.78GE1/0/4 116.7.229.72 32Direct0116.7.229.78GE1/0/4 116.7.229.78 32Direct0127.0.0.1InLoop0
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
设的IP是20.20.20.20 目标网段是192.168.1.10 会话状态正常。。