防火墙SSL VPN 配置后,用INode可以连接 并能获取到地址,但是ping不通VPN 的网关,也ping 不通业务地址,在防护墙上看不到VPN 客户端的ARP 信息
sysname H3C
#
context Admin id 1
#
ip vpn-instance ȱʡ
#
telnet server enable
#
irf mac-address persistent timer
irf auto-update enable
undo irf link-delay
irf member 1 priority 1
#
ip pool aaa 192.168.100.2 192.168.100.254
ip pool aaa gateway 192.168.100.1
#
dhcp enable
#
password-recovery enable
#
vlan 1
#
object-group ip address 10.10.12.0/24
#
object-group ip address 10.10.12.1
#
object-group service icmp
#
object-group service SSLVPN
0 service tcp source lt 65336 destination eq 8443
#
dhcp server ip-pool bjhr
gateway-list 198.115.235.193
network 198.115.235.192 mask 255.255.255.192
dns-list 198.115.168.2 198.115.168.1 198.115.167.2 198.115.167.1
#
dhcp server ip-pool waiwang
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 211.137.32.178
#
interface NULL0
#
interface GigabitEthernet1/0/0
port link-mode route
combo enable copper
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode route
combo enable copper
ip address 116.140.30.125 255.255.255.192
nat outbound disable
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
port link-mode route
#
interface GigabitEthernet1/0/4
port link-mode route
#
interface GigabitEthernet1/0/5
port link-mode route
#
interface GigabitEthernet1/0/6
port link-mode route
#
interface GigabitEthernet1/0/7
port link-mode route
#
interface GigabitEthernet1/0/8
port link-mode route
#
interface GigabitEthernet1/0/9
port link-mode route
#
interface GigabitEthernet1/0/10
port link-mode route
ip address 192.168.10.1 255.255.255.0
#
interface GigabitEthernet1/0/11
port link-mode route
#
interface GigabitEthernet1/0/11.2000
ip address 198.115.246.125 255.255.255.192
vlan-type dot1q vid 2000
#
interface SSLVPN-AC1
ip address 10.10.12.1 255.255.255.0
#
object-policy ip Any-Any
rule 0 pass counting
#
object-policy ip Local-SSLVPN
rule 0 pass counting
#
object-policy ip Local-Trust
rule 0 pass counting
#
object-policy ip SSLVPN-Local
rule 0 pass counting
#
object-policy ip SSLVPN-Trust
rule 0 pass counting
#
security-zone name Local
#
security-zone name Trust
import interface GigabitEthernet1/0/10
import interface GigabitEthernet1/0/11
import interface GigabitEthernet1/0/11.2000
#
security-zone name DMZ
#
security-zone name Untrust
import interface GigabitEthernet1/0/1
#
security-zone name Management
import interface GigabitEthernet1/0/0
import interface GigabitEthernet1/0/2
#
security-zone name SSLVPN
import interface SSLVPN-AC1
#
zone-pair security source Any destination Any
object-policy apply ip Any-Any
#
zone-pair security source Local destination SSLVPN
object-policy apply ip Local-SSLVPN
#
zone-pair security source Local destination Trust
object-policy apply ip Local-Trust
#
zone-pair security source SSLVPN destination Local
object-policy apply ip SSLVPN-Local
#
zone-pair security source SSLVPN destination Trust
object-policy apply ip SSLVPN-Trust
#
scheduler logfile size 16
#
line class aux
user-role network-operator
#
line class console
user-role network-admin
#
line class vty
user-role network-operator
#
line aux 0
user-role network-admin
#
line con 0
authentication-mode scheme
user-role network-admin
#
line vty 0 63
authentication-mode scheme
user-role network-admin
#
ip route-static 0.0.0.0 0 GigabitEthernet1/0/1 116.140.30.65
ip route-static vpn-instance ȱʡ 10.10.12.0 24 SSLVPN-AC1 10.10.12.1
#
ssh server enable
sftp server enable
#
acl advanced 3000
rule 0 permit 0 source 10.10.12.0 0.0.0.25 counting
#
domain l2tp-domain
#
domain system
#
aaa session-limit ftp 16
aaa session-limit telnet 16
aaa session-limit ssh 16
domain default enable system
#
role name level-0
description Predefined level-0 role
#
role name level-1
description Predefined level-1 role
#
role name level-2
description Predefined level-2 role
#
role name level-3
description Predefined level-3 role
#
role name level-4
description Predefined level-4 role
#
role name level-5
description Predefined level-5 role
#
role name level-6
description Predefined level-6 role
#
role name level-7
description Predefined level-7 role
#
role name level-8
description Predefined level-8 role
#
role name level-9
description Predefined level-9 role
#
role name level-10
description Predefined level-10 role
#
role name level-11
description Predefined level-11 role
#
role name level-12
description Predefined level-12 role
#
role name level-13
description Predefined level-13 role
#
role name level-14
description Predefined level-14 role
#
user-group system
#
local-user admin class manage
password hash $h$6$zaKwyt/8APmOd8QL$3+LavnU2hqme5KLWipLiwHcBqAI5BvETqpJfDAObo1SXsAPYWAUC3fnRFSk9QkH2hEJnZ+lNib0xgwq/TbfoZg==
service-type ssh telnet terminal http https
authorization-attribute user-role level-3
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
local-user ceshi class network
password cipher $c$3$unkc/Ct4ZrwwuDglP/mBel8YPEJmbDkTnAmn
service-type sslvpn
authorization-attribute user-role network-operator
authorization-attribute sslvpn-policy-group SSLVPN
#
pki domain bjyd-pki
certificate request entity fw-ssl
public-key rsa general name fw-ssl-key length 2048
usage ssl-server
undo crl check enable
#
pki domain default
certificate request entity fw-ssl
usage ssl-client
undo crl check enable
#
pki entity fw-ssl
common-name 116.140.30.125
country CN
locality Chaoyang
organization bjyd
state Liaoning
ip 116.140.30.125
#
ssl renegotiation disable
ssl version ssl3.0 disable
#
l2tp-group 1 mode lns
allow l2tp virtual-template 1
undo tunnel authentication
tunnel name LNS
#
l2tp enable
#
ip http enable
ip https port 7443
ip https enable
#
sslvpn ip address-pool ssl-pool 10.10.12.2 10.10.12.200
#
sslvpn gateway 1
ip address 116.140.30.125 port 8443
service enable
#
sslvpn context 1
gateway 1
ip-tunnel interface SSLVPN-AC1
ip-tunnel address-pool ssl-pool mask 255.255.255.0
ip-tunnel dns-server primary 202.96.64.68
ip-tunnel dns-server secondary 202.96.69.38
ip-route-list ssl
include 198.115.246.64 255.255.255.192
policy-group SSLVPN
filter ip-tunnel acl 3000
ip-tunnel access-route ip-route-list ssl
default-policy-group SSLVPN
service enable
SSL VPN INode 连上获取地址,但 ping 不通网关 10.10.12.1、无 ARP 根因 + 完整修复
一、核心致命故障根源(配置一眼定位)
1. SSLVPN-AC1 接口被塞进了 VPN 实例隔离(最关键)
plaintext
ip vpn-instance ȱʡ
ip route-static vpn-instance ȱʡ 10.10.12.0 24 SSLVPN-AC1 10.10.12.1
所有 10.10.12.0/24 网段路由被隔离在私有 VPN 实例里,防火墙全局公网路由表没有 10.10.12.0 路由;
SSLVPN 区域、Trust、Local 都在全局公网路由表,客户端报文到达防火墙后,防火墙查全局路由找不到 10.10.12.0 回程,报文直接丢弃;
因此防火墙无客户端 ARP 表,客户端 ping 网关完全无响应。
2. 次要隐患:ACL3000 仅放行源,没放行回程 ICMP
plaintext
acl advanced 3000
rule 0 permit 0 source 10.10.12.0 0.0.0.25 counting
只允许 VPN 客户端发起的报文,内网 / 网关回包无法匹配 ACL,会被策略拦截,即使路由修好也会 ping 不通。
3. 路由隔离逻辑通俗解释
INode 客户端获取 10.10.12.x 地址,报文进入 SSLVPN 区域;
防火墙接收客户端 ping 10.10.12.1,查询全局公网路由表,无 10.10.12.0 网段路由;
防火墙丢弃 ICMP 请求,不产生 ARP 表项,客户端直接超时。
二、分步修复命令(按顺序执行,执行完重连 INode 测试)
步骤 1:删除错误 VPN 实例隔离路由(根治路由隔离)
bash
运行
system-view
undo ip route-static vpn-instance ȱʡ 10.10.12.0 255.255.255.0 SSLVPN-AC1 10.10.12.1
步骤 2:全局公网路由表添加 SSLVPN 直连路由(必须全局,不能带 vpn-instance)
bash
运行
ip route-static 10.10.12.0 255.255.255.0 SSLVPN-AC1
作用:全局路由表存在 VPN 网段,客户端访问网关 / 内网有回程路由,防火墙能正常学习客户端 ARP。
步骤 3:修正 ACL3000,双向放行 VPN 网段流量(解决 ICMP 回包拦截)
bash
运行
acl advanced 3000
undo rule 0
# 双向放行10.10.12.0全流量
rule permit ip source 10.10.12.0 0.0.0.255 destination any
rule permit ip source any destination 10.10.12.0 0.0.0.255
quit
# 重新绑定到SSLVPN策略组
sslvpn context 1
policy-group SSLVPN
filter ip-tunnel acl 3000
步骤 4:校验 SSL VPN 访问路由列表(内网业务可达保障)
bash
运行
# 当前配置仅放行198.115.246.64/26,无需改动,如需放其他内网网段在此添加
ip-route-list ssl
include 198.115.246.64 255.255.255.192
步骤 5:保存配置,客户端断开 INode 重连测试
bash
运行
save
三、修复后验证命令(判断是否解决)
查看全局路由,确认 10.10.12.0 存在:
bash
运行
display ip routing-table | include 10.10.12
正常输出:10.10.12.0/24 Direct 0 0 SSLVPN-AC1
查看在线 SSL VPN 客户端,确认用户在线:
bash
运行
display sslvpn session user
查看 ARP 表,出现客户端 10.10.12.x MAC 条目:
bash
运行
display arp | include 10.10.12
防火墙本地带源 ping VPN 网关测试:
bash
运行
ping -a 10.10.12.1 10.10.12.2
四、补充说明(避坑)
不要把SSLVPN-AC1接口绑定到任何 ip vpn-instance,SSL VPN 虚拟隧道接口默认属于全局公网路由表,放入 VRF 会完全断网;
安全策略zone-pair security source SSLVPN destination Trust/Local已经全放通Any-Any,路由修复后内网业务自动可达;
若修复后仅能 ping 网关、无法访问内网业务,检查内网服务器是否存在去往10.10.12.0/24回程路由;
INode 客户端虚拟网卡冲突 / 防火墙拦截会单独导致不通,可切换无痕模式、关闭电脑安全软件重试。
最简总结
故障核心:SSLVPN 网段路由被错误隔离在 VPN 实例,全局无回程路由→无 ARP、ping 不通网关;
修复核心:删除 vpn-instance 隔离路由,全局添加 10.10.12.0 直连路由,双向放行 ACL 流量,重连 VPN 即可恢复。
我可以不引用ACL 么 不引用默认都放通么
我可以不引用ACL 么 不引用默认都放通么
从你的配置来看,SSL VPN能成功拨号并获取IP地址,说明隧道建立和账号验证是正常的。现在的问题在于数据转发层面。
根据你“能获取地址,但ping不通VPN网关,也ping不通业务地址”的现象,问题很可能出在以下三个环节:安全策略、路由推送、或回程路由。
你的配置中,SSLVPN 安全域内只有 SSLVPN-AC1 接口,但安全策略可能存在缺失或配置不当。
核心检查点:需要确保存在从 SSLVPN 到 Trust 安全域的放行策略。你当前的 zone-pair security source SSLVPN destination Trust 关联了 object-policy apply ip SSLVPN-Trust,但该策略内容 rule 0 pass counting 虽然放行了所有流量,却没有指定源和目的地址。
建议操作:为了快速定位,可以先将 SSLVPN-Trust 策略中的规则修改为明确的放行规则。
补充说明:虽然 Any-Any 的域间策略存在,但更具体的 SSLVPN-Trust 策略可能会覆盖它,因此仍需检查。
即使VPN连接成功,如果没把正确的路由推送给客户端,或者ACL把流量过滤了,那客户端依然无法访问内网。
检查路由列表 (ip-route-list ssl):你的配置中只包含了一条路由 include 198.115.246.64 255.255.255.192。
这意味着:客户端拨入后,只会收到去往 198.115.246.64/26 这个网段的路由。
因此:你的VPN网关 10.10.12.1 和业务地址(如 192.168.10.0/24)并不在 198.115.246.64/26 网段内。这是导致你ping不通网关和业务地址最直接的原因。
解决方法:在 ip-route-list ssl 中添加你真正需要访问的网段。
检查ACL过滤 (filter ip-tunnel acl 3000):你调用了 acl advanced 3000。
数据是双向的。即使VPN客户端的数据包能到达内网服务器,但如果服务器不知道怎么把数据包回传给VPN客户端,通信也会失败。
问题场景:当内网服务器(如 192.168.10.2)收到来自VPN客户端(10.10.12.2)的请求时,它需要将回包发送回去。
检查方法:登录到内网的核心交换机或路由器上,检查其路由表。
正确配置:必须存在一条去往 10.10.12.0/24 网段的路由,其下一跳指向防火墙的 SSLVPN-AC1 接口地址 10.10.12.1。或者在防火墙上做好NAT,让内网服务器以为是和防火墙在通信。
你提到ping不通VPN网关 10.10.12.1。
我可以不引用ACL 么 不引用是全部放行么
我可以不引用ACL 么 不引用是全部放行么
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明