MSR5660 VPN连回内网无法ssh到设备

怀疑对端 对于跨网段的源地址做了 限制

相应的ssh端口通吗

可能有设备做限制了 

sslvpn是做在路由器上的，我的路由器在出口，连上VPN后可以ping到路由器IP，但是ssh不到；路由器上行就是电信线路了

既然能ping通但TCP连不上，问题基本就锁定在基于安全域的包过滤策略或SSL VPN的本地策略控制上。大概率是你只放通了ICMP协议，但没放行TCP 22端口。

 根因分析

在H3C Comware V7系统中，SSL VPN接入用户会被自动划入一个独立的sslvpn安全域，而不是默认的Trust等内网区域。同时，设备各安全域间默认是拒绝所有流量的。因此，哪怕全局和内网设备没有ACL，这个默认策略也会拦截你的SSH请求。

你之所以能Ping通，很可能是因为之前为测试连通性，配置过从sslvpn域到Trust域的放通策略，但策略里只允许了ICMP协议，忘了允许TCP。

 推荐排查步骤

① 查看域间策略（最高效）

在MSR5660上执行下面的命令，直接定位问题：

② 补全安全域策略

确认问题后，创建一个ACL允许TCP 22端口，并应用到域间策略中：

③ 检查“本地策略”（关键）

如果域间策略没问题，接下来要检查SSL VPN的“本地策略”（Local Policy），它对流量的限制更加精细。在sslvpn context下使用 display this 命令，检查策略中url-resource或tcp-resource下是否缺少对目标内网IP和22端口的许可。

 补充排查清单

如果上述步骤无效，再按以下清单逐项排查：

• 检查路由：确认MSR5660有到内网SSH服务器的正确路由，特别是回程路由。如果内网是多区域网络，核心交换机上需要有针对SSL VPN地址池网段的准确回程路由。

• 检查目标设备SSH服务：在目标交换机上执行 display ssh server acl，确认其自身是否设置了允许登录的源IP ACL，并放行了SSLVPN地址池网段。

• 检查MTU：SSL VPN封装会增加报文头开销，可能导致报文超过路径MTU而无法分片，造成HTTP/SSH等长连接失败。可以在VPN网关下行接口尝试配置 tcp mss 1200。

• 开启Debug调试：在MSR上执行以下命令，终端实时查看SSH请求的报文流转过程：

  terminal monitor

  terminal debugging debugging ip packet acl 3000

• 检查端口与IRF：如果修改过SSH端口，要确保客户端和所有安全策略都使用了正确的端口。如果是堆叠环境，还需检查所属的IRF配置是否正常。