F100-C-G5 SSL VPN 账号认证通过、隧道建立失败 分步排查（V7 防火墙通用，认证过 = 443 通，故障集中在地址池 / SSLVPN-AC / 安全域 / 路由 / 客户端）

现象：账号密码校验成功→下发隧道参数失败→弹窗【建立 VPN 隧道失败】，核心 5 大类故障点按优先级排查

一、防火墙配置侧（80% 故障出处，优先核查）

1、SSLVPN-AC 虚拟接口配置（必查）H3C

• 故障 1：没创建interface SSLVPN-AC 1、未配置 IP（例 10.254.1.1/24）
• 故障 2：SSLVPN 实例没绑定 AC 口

AC 口 IP 网段 = VPN 地址池同网段，地址池不能包含 AC 接口 IPH3C

2、SSL 地址池配置 & 实例引用（高频错）

3、安全域 & 域间策略（F100-G5 防火墙独有）

• SSLVPN→Local放通（VPN 和网关通信）
• SSLVPN→Trust放通（访问内网）

缺策略：客户端拿到 IP，但隧道报文被域间策略拦截，隧道协商失败

4、路由配置

1. 内网路由：内网网段回程路由下一跳指向防火墙内网口，内网服务器添加VPN 地址池静态路由→防火墙内网 IP；
2. 拆分隧道：配置拆分网段（内网网段），设备自动下发路由至客户端；全隧道模式无需拆分，但保证 VPN 网段可达。

5、证书 & 设备时间问题H3C

• 防火墙系统时间和客户端时差＞24h，证书校验异常，认证过但隧道协商失败；
• SSLVPN 使用证书过期 / 自签证书异常：重新生成 SSL 域证书。

二、客户端 iNode 侧故障（剩下 20%）

Windows 端

1. 临时关闭火绒 / 360/Windows Defender安全软件（拦截 iNode 虚拟网卡驱动安装）；
2. 卸载旧 iNode→删除残留虚拟网卡（设备管理器 - 显示隐藏设备，卸载 H3C iNode Virtual NIC），管理员重装 iNode；
3. 执行修复 LSP：netsh winsock reset，重启电脑；
4. Win10/11 驱动拦截：开启测试签名后重装：bcdedit /set testsigning on，重启安装。

Mac 端

1. 系统设置→安全性与隐私，放行 iNode 内核驱动；M 系列芯片需手动允许系统扩展；
2. 更换 iNode MAC 安装包（从防火墙 VPN 门户下载对应固件版本）。

三、特殊附加排查

1. NAT 干扰：外网客户端在 NAT 局域网（路由器 / 光猫下），防火墙开启 SSLVPN NAT-T（默认开启，端口 UDP4433），运营商封禁 4433 会隧道失败，修改 VPN 服务端口；
2. 终端多网卡冲突：虚拟机 VMware/VBox 虚拟网卡和 iNode 抢占路由，临时禁用虚拟机网卡重试；
3. 设备调试抓包：开启 debug 查看隧道协商报文

最简快速整改清单（一键核对）

1. SSLVPN-AC1 有 IP、入 SSLVPN 域；
2. 地址池同 AC 网段，VPN 上下文绑定地址池；
3. SSLVPN 域放通 Local、Trust 域间策略；
4. 设备时间正常、证书有效；
5. 客户端关杀毒、重装 iNode。