接口配置下保持上一跳功能

根本原因在于：新增宽带后，防火墙的 “回程路径不一致” 导致远程访问失败。

当防火墙新增一条宽带后，它同时存在两条到达互联网的默认路由。SSL VPN用户从新宽带（假设为WAN2）访问时，防火墙收到请求，但由于优先级或策略路由（PBR）配置，响应报文可能尝试从原有的宽带（WAN1）发出。这种TCP连接请求和响应路径不一致的情况，会被互联网运营商或终端安全机制视为非法而丢弃，导致访问失败。你提到的现象与已有的双WAN导致SSL VPN失败的案例非常相似。

 关键排查点

• 路由表验证：在防火墙命令行执行 display ip routing-table，确认两条宽带的默认路由是否存在，以及它们的优先级（Preference 值）。如果优先级相同，就可能触发问题。

• 安全策略检查：执行 display security-policy，确保已放行从untrust（新宽带接口所在域）到local（防火墙自身）的SSL VPN服务端口（通常为TCP 443或自定义端口）。

• NAT策略检查：确认是否有为来自新宽带接口（WAN2）的SSL VPN流量配置正确的NAT地址转换，避免被误转换。

• SSL VPN配置检查：确认SSL VPN网关配置中，是否同时绑定了新、旧宽带的公网IP地址，并检查关联的用户、策略等是否配置正确。

 深入排查与解决方案

如果基础配置检查无误，问题很可能出在流量转发策略上，建议按以下顺序排查：

• 方案一：开启“保持上一跳”功能 (最简单有效)
  在连接新宽带的接口视图下，执行 ip last-hop hold 命令。这能强制防火墙在响应从该接口收到的请求时，优先从同一接口发出回应，是解决此类非对称路由最简单有效的方法。

• 方案二：配置本地策略路由 (更灵活)
  通过命令行配置策略路由（PBR），精确控制特定流量（如SSL VPN的443端口流量）的转发路径，强制其通过特定接口（如WAN2）转发。

• 方案三：优化默认路由优先级 (做备份)
  如果只是主备切换，可通过调整默认路由的preference值，明确主备关系，避免等价路由带来的不确定性。

F1000 双出口 新增宽带后 SSL VPN 无法登录 根因 + 解决

一句话定根因

一、为什么单出口正常，一加第二条宽带就废了

1. 原来单出口：所有公网流量、SSL VPN 接入都走唯一外网口，路由、NAT、端口映射全正常。
2. 新增第二条家庭宽带后：
   • 你大概率没做静态路由、没做策略路由
   • 防火墙默认路由变成走新宽带
   • 外网用户访问旧公网 IP的 SSL VPN 流量，回程路由被甩到新宽带接口
   • 来回路径不一致 → 防火墙防源 IP 欺骗、会话检测拦截，直接丢包
   • 同时：SSL VPN 虚拟网关 / 监听只绑旧 IP，流量入了但回程不对，完全打不开

二、3 个核心技术原因

1. 双出口来回路径不一致（不对称路由）

   外网用户连旧公网 IP，请求从旧宽带进，防火墙回包走新宽带 → 会话表不匹配，防火墙直接拦截。
2. SSL VPN 未多实例绑定双公网 IP

   只配置了旧 IP 作为 SSL VPN 网关，新 IP 没配置，且 DNS / 客户端还是老 IP。
3. 端口映射、NAT 未做出口绑定

   内网服务、SSL VPN 端口映射没绑定出接口，路由乱跳后 NAT 失效。

三、立刻能落地的解决办法（二选一）

方案 1：强制 SSL VPN 旧 IP 流量 固定走旧宽带接口（推荐）

1. 把访问旧公网 IP 的所有流量，配置静态路由 / 策略路由，强制固定从旧外网接口转发，不走新宽带。
2. 在 NAT、端口映射里绑定出接口，不让路由乱飘。
3. 关闭或调整防火墙严格路由 / 反向路由检测（部分版本默认开启导致拦截）：

方案 2：SSL VPN 双 IP 同时适配

1. SSL VPN 里新增绑定新宽带公网 IP做第二个虚拟网关。
2. 客户端可以任选旧 IP / 新 IP 拨号。
3. 业务流量做策略路由：办公走专线旧出口，普通上网走家庭宽带新出口。

四、极简配置思路总结

1. 外网两条线路不要让路由自动乱选
2. 旧公网 IP、SSL VPN、端口映射 强制固定走原来的外网接口
3. 关闭反向路由检测，防止来回路径不一致被拦截
4. 要么固定老线路，要么 SSL VPN 同时适配两个公网 IP

• 两个外网接口名称、
• 旧公网 IP、新宽带公网 IP