• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SSL VPN ping不通网关

7小时前提问
  • 0关注
  • 0收藏,53浏览
粉丝:0人 关注:0人

问题描述:

防火墙SSL VPN 配置后,用INode可以连接 并能获取到地址,但是ping不通VPN 的网关,也ping 不通业务地址,在防护墙上看不到VPN 客户端的ARP 信息

组网及组网描述:

sysname H3C

#

context Admin id 1

#

ip vpn-instance ȱʡ

#

 telnet server enable

#

 irf mac-address persistent timer

 irf auto-update enable

 undo irf link-delay

 irf member 1 priority 1

#

 ip pool aaa 192.168.100.2 192.168.100.254

 ip pool aaa gateway 192.168.100.1

#

 dhcp enable

#

 password-recovery enable

#

vlan 1

#

object-group ip address 10.10.12.0/24

#

object-group ip address 10.10.12.1

#

object-group service icmp

#

object-group service SSLVPN

 0 service tcp source lt 65336 destination eq 8443

#

dhcp server ip-pool bjhr

 gateway-list 198.115.235.193

 network 198.115.235.192 mask 255.255.255.192

 dns-list 198.115.168.2 198.115.168.1 198.115.167.2 198.115.167.1

#

dhcp server ip-pool waiwang

 gateway-list 192.168.10.1

 network 192.168.10.0 mask 255.255.255.0

 dns-list 211.137.32.178

#

interface NULL0

#

interface GigabitEthernet1/0/0

 port link-mode route

 combo enable copper

 ip address 192.168.0.1 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-mode route

 combo enable copper

 ip address 116.140.30.125 255.255.255.192

 nat outbound disable

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet1/0/3

 port link-mode route

#

interface GigabitEthernet1/0/4

 port link-mode route

#

interface GigabitEthernet1/0/5

 port link-mode route

#

interface GigabitEthernet1/0/6

 port link-mode route

#

interface GigabitEthernet1/0/7

 port link-mode route

#

interface GigabitEthernet1/0/8

 port link-mode route

#

interface GigabitEthernet1/0/9

 port link-mode route

#

interface GigabitEthernet1/0/10

 port link-mode route

 ip address 192.168.10.1 255.255.255.0

#

interface GigabitEthernet1/0/11

 port link-mode route

#

interface GigabitEthernet1/0/11.2000

 ip address 198.115.246.125 255.255.255.192

 vlan-type dot1q vid 2000

#

interface SSLVPN-AC1

 ip address 10.10.12.1 255.255.255.0

#

object-policy ip Any-Any

 rule 0 pass counting

#

object-policy ip Local-SSLVPN

 rule 0 pass counting

#

object-policy ip Local-Trust

 rule 0 pass counting

#

object-policy ip SSLVPN-Local

 rule 0 pass counting

#

object-policy ip SSLVPN-Trust

 rule 0 pass counting

#

security-zone name Local

#

security-zone name Trust

 import interface GigabitEthernet1/0/10

 import interface GigabitEthernet1/0/11

 import interface GigabitEthernet1/0/11.2000

#

security-zone name DMZ

#

security-zone name Untrust

 import interface GigabitEthernet1/0/1

#

security-zone name Management

 import interface GigabitEthernet1/0/0

 import interface GigabitEthernet1/0/2

#

security-zone name SSLVPN

 import interface SSLVPN-AC1

#

zone-pair security source Any destination Any

 object-policy apply ip Any-Any

#

zone-pair security source Local destination SSLVPN

 object-policy apply ip Local-SSLVPN

#

zone-pair security source Local destination Trust

 object-policy apply ip Local-Trust

#

zone-pair security source SSLVPN destination Local

 object-policy apply ip SSLVPN-Local

#

zone-pair security source SSLVPN destination Trust

 object-policy apply ip SSLVPN-Trust

#

 scheduler logfile size 16

#

line class aux

 user-role network-operator

#

line class console

 user-role network-admin

#

line class vty

 user-role network-operator

#

line aux 0

 user-role network-admin

#

line con 0

 authentication-mode scheme

 user-role network-admin

#

line vty 0 63

 authentication-mode scheme

 user-role network-admin

#

 ip route-static 0.0.0.0 0 GigabitEthernet1/0/1 116.140.30.65

 ip route-static vpn-instance ȱʡ 10.10.12.0 24 SSLVPN-AC1 10.10.12.1

#

 ssh server enable

 sftp server enable

#

acl advanced 3000

 rule 0 permit 0 source 10.10.12.0 0.0.0.25 counting

#

domain l2tp-domain

#

domain system

#

 aaa session-limit ftp 16

 aaa session-limit telnet 16

 aaa session-limit ssh 16

 domain default enable system

#

role name level-0

 description Predefined level-0 role

#

role name level-1

 description Predefined level-1 role

#

role name level-2

 description Predefined level-2 role

#

role name level-3

 description Predefined level-3 role

#

role name level-4

 description Predefined level-4 role

#

role name level-5

 description Predefined level-5 role

#

role name level-6

 description Predefined level-6 role

#

role name level-7

 description Predefined level-7 role

#

role name level-8

 description Predefined level-8 role

#

role name level-9

 description Predefined level-9 role

#

role name level-10

 description Predefined level-10 role

#

role name level-11

 description Predefined level-11 role

#

role name level-12

 description Predefined level-12 role

#

role name level-13

 description Predefined level-13 role

#

role name level-14

 description Predefined level-14 role

#

user-group system

#

local-user admin class manage

 password hash $h$6$zaKwyt/8APmOd8QL$3+LavnU2hqme5KLWipLiwHcBqAI5BvETqpJfDAObo1SXsAPYWAUC3fnRFSk9QkH2hEJnZ+lNib0xgwq/TbfoZg==

 service-type ssh telnet terminal http https

 authorization-attribute user-role level-3

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

local-user ceshi class network

 password cipher $c$3$unkc/Ct4ZrwwuDglP/mBel8YPEJmbDkTnAmn

 service-type sslvpn

 authorization-attribute user-role network-operator

 authorization-attribute sslvpn-policy-group SSLVPN

#

pki domain bjyd-pki

 certificate request entity fw-ssl

 public-key rsa general name fw-ssl-key length 2048

 usage ssl-server

 undo crl check enable

#

pki domain default

 certificate request entity fw-ssl

 usage ssl-client

 undo crl check enable

#

pki entity fw-ssl

 common-name 116.140.30.125

 country CN

 locality Chaoyang

 organization bjyd

 state Liaoning

 ip 116.140.30.125

#

 ssl renegotiation disable

 ssl version ssl3.0 disable

#

l2tp-group 1 mode lns

 allow l2tp virtual-template 1

 undo tunnel authentication

 tunnel name LNS

#

 l2tp enable

#

 ip http enable

 ip https port 7443

 ip https enable

#

sslvpn ip address-pool ssl-pool 10.10.12.2 10.10.12.200

#

sslvpn gateway 1

 ip address 116.140.30.125 port 8443

 service enable

#

sslvpn context 1

 gateway 1

 ip-tunnel interface SSLVPN-AC1

 ip-tunnel address-pool ssl-pool mask 255.255.255.0

 ip-tunnel dns-server primary 202.96.64.68

 ip-tunnel dns-server secondary 202.96.69.38

 ip-route-list ssl

  include 198.115.246.64 255.255.255.192

 policy-group SSLVPN

  filter ip-tunnel acl 3000

  ip-tunnel access-route ip-route-list ssl

 default-policy-group SSLVPN

 service enable

 

4 个回答
粉丝:209人 关注:0人

您好,检查域间策略,检查路由

粉丝:12人 关注:9人

排查步骤及命令:
1. 检查SSL VPN地址池配置:确认地址池网关是否为192.168.100.1,且地址池未耗尽。
命令:display ip pool name aaa
2. 检查SSL VPN接口配置:确认SSL VPN虚拟接口(如Virtual-Template)是否绑定地址池,且接口状态UP。
命令:display interface Virtual-Template x;display ip vpn-instance;display sslvpn session
3. 检查ARP代理配置:SSL VPN网关需开启ARP代理,否则客户端无法解析网关ARP。
命令:在SSL VPN虚拟接口下配置arp-proxy enable
4. 检查安全策略:确认允许SSL VPN客户端到网关及业务地址的流量。
命令:display security-policy rule name [规则名]
5. 检查NAT配置:若存在NAT,需排除SSL VPN网段,避免地址转换。
命令:display nat policy
6. 检查路由配置:确认SSL VPN网段路由存在,且指向正确接口。
命令:display ip routing-table 192.168.100.0 255.255.255.0
关键配置补充:
在Virtual-Template接口下配置:
ip address 192.168.100.1 255.255.255.0
arp-proxy enable
sslvpn bind ip-pool aaa

粉丝:20人 关注:2人

SSL VPN INode 连上获取地址,但 ping 不通网关 10.10.12.1、无 ARP 根因 + 完整修复
一、核心致命故障根源(配置一眼定位)
1. SSLVPN-AC1 接口被塞进了 VPN 实例隔离(最关键)
plaintext
ip vpn-instance ȱʡ
ip route-static vpn-instance ȱʡ 10.10.12.0 24 SSLVPN-AC1 10.10.12.1
所有 10.10.12.0/24 网段路由被隔离在私有 VPN 实例里,防火墙全局公网路由表没有 10.10.12.0 路由;
SSLVPN 区域、Trust、Local 都在全局公网路由表,客户端报文到达防火墙后,防火墙查全局路由找不到 10.10.12.0 回程,报文直接丢弃;
因此防火墙无客户端 ARP 表,客户端 ping 网关完全无响应。
2. 次要隐患:ACL3000 仅放行源,没放行回程 ICMP
plaintext
acl advanced 3000
rule 0 permit 0 source 10.10.12.0 0.0.0.25 counting
只允许 VPN 客户端发起的报文,内网 / 网关回包无法匹配 ACL,会被策略拦截,即使路由修好也会 ping 不通。
3. 路由隔离逻辑通俗解释
INode 客户端获取 10.10.12.x 地址,报文进入 SSLVPN 区域;
防火墙接收客户端 ping 10.10.12.1,查询全局公网路由表,无 10.10.12.0 网段路由;
防火墙丢弃 ICMP 请求,不产生 ARP 表项,客户端直接超时。
二、分步修复命令(按顺序执行,执行完重连 INode 测试)
步骤 1:删除错误 VPN 实例隔离路由(根治路由隔离)
bash
运行
system-view
undo ip route-static vpn-instance ȱʡ 10.10.12.0 255.255.255.0 SSLVPN-AC1 10.10.12.1
步骤 2:全局公网路由表添加 SSLVPN 直连路由(必须全局,不能带 vpn-instance)
bash
运行
ip route-static 10.10.12.0 255.255.255.0 SSLVPN-AC1
作用:全局路由表存在 VPN 网段,客户端访问网关 / 内网有回程路由,防火墙能正常学习客户端 ARP。
步骤 3:修正 ACL3000,双向放行 VPN 网段流量(解决 ICMP 回包拦截)
bash
运行
acl advanced 3000
undo rule 0
# 双向放行10.10.12.0全流量
rule permit ip source 10.10.12.0 0.0.0.255 destination any
rule permit ip source any destination 10.10.12.0 0.0.0.255
quit
# 重新绑定到SSLVPN策略组
sslvpn context 1
policy-group SSLVPN
filter ip-tunnel acl 3000
步骤 4:校验 SSL VPN 访问路由列表(内网业务可达保障)
bash
运行
# 当前配置仅放行198.115.246.64/26,无需改动,如需放其他内网网段在此添加
ip-route-list ssl
include 198.115.246.64 255.255.255.192
步骤 5:保存配置,客户端断开 INode 重连测试
bash
运行
save
三、修复后验证命令(判断是否解决)
查看全局路由,确认 10.10.12.0 存在:
bash
运行
display ip routing-table | include 10.10.12
正常输出:10.10.12.0/24 Direct 0 0 SSLVPN-AC1
查看在线 SSL VPN 客户端,确认用户在线:
bash
运行
display sslvpn session user
查看 ARP 表,出现客户端 10.10.12.x MAC 条目:
bash
运行
display arp | include 10.10.12
防火墙本地带源 ping VPN 网关测试:
bash
运行
ping -a 10.10.12.1 10.10.12.2
四、补充说明(避坑)
不要把SSLVPN-AC1接口绑定到任何 ip vpn-instance,SSL VPN 虚拟隧道接口默认属于全局公网路由表,放入 VRF 会完全断网;
安全策略zone-pair security source SSLVPN destination Trust/Local已经全放通Any-Any,路由修复后内网业务自动可达;
若修复后仅能 ping 网关、无法访问内网业务,检查内网服务器是否存在去往10.10.12.0/24回程路由;
INode 客户端虚拟网卡冲突 / 防火墙拦截会单独导致不通,可切换无痕模式、关闭电脑安全软件重试。
最简总结
故障核心:SSLVPN 网段路由被错误隔离在 VPN 实例,全局无回程路由→无 ARP、ping 不通网关;
修复核心:删除 vpn-instance 隔离路由,全局添加 10.10.12.0 直连路由,双向放行 ACL 流量,重连 VPN 即可恢复。

我可以不引用ACL 么 不引用默认都放通么

zhiliao_xTel8 发表时间:7小时前 更多>>

我可以不引用ACL 么 不引用默认都放通么

zhiliao_xTel8 发表时间:7小时前
粉丝:23人 关注:1人

从你的配置来看,SSL VPN能成功拨号并获取IP地址,说明隧道建立和账号验证是正常的。现在的问题在于数据转发层面。

根据你“能获取地址,但ping不通VPN网关,也ping不通业务地址”的现象,问题很可能出在以下三个环节:安全策略、路由推送、或回程路由

🔍 排查步骤

第一步:检查安全策略(可能性最高)

你的配置中,SSLVPN 安全域内只有 SSLVPN-AC1 接口,但安全策略可能存在缺失或配置不当。

  • 核心检查点:需要确保存在从 SSLVPN 到 Trust 安全域的放行策略。你当前的 zone-pair security source SSLVPN destination Trust 关联了 object-policy apply ip SSLVPN-Trust,但该策略内容 rule 0 pass counting 虽然放行了所有流量,却没有指定源和目的地址

  • 建议操作:为了快速定位,可以先将 SSLVPN-Trust 策略中的规则修改为明确的放行规则。

    text
    [H3C] object-policy ip SSLVPN-Trust [H3C-object-policy-ip-SSLVPN-Trust] rule 0 pass source-ip any destination-ip any
  • 补充说明:虽然 Any-Any 的域间策略存在,但更具体的 SSLVPN-Trust 策略可能会覆盖它,因此仍需检查。

第二步:检查路由推送与ACL(核心配置)

即使VPN连接成功,如果没把正确的路由推送给客户端,或者ACL把流量过滤了,那客户端依然无法访问内网。

  • 检查路由列表 (ip-route-list ssl):你的配置中只包含了一条路由 include 198.115.246.64 255.255.255.192

    • 这意味着:客户端拨入后,只会收到去往 198.115.246.64/26 这个网段的路由。

    • 因此:你的VPN网关 10.10.12.1 和业务地址(如 192.168.10.0/24)并不在 198.115.246.64/26 网段内。这是导致你ping不通网关和业务地址最直接的原因

    • 解决方法:在 ip-route-list ssl 中添加你真正需要访问的网段。

      text
      [H3C-sslvpn-context-1-route-list-ssl] include 10.10.12.0 255.255.255.0 [H3C-sslvpn-context-1-route-list-ssl] include 192.168.10.0 255.255.255.0

      添加后,客户端会收到通往这些网段的路由,数据包才能正确被路由

  • 检查ACL过滤 (filter ip-tunnel acl 3000):你调用了 acl advanced 3000

    • 检查方法:执行 display acl 3000 确认其内容。

    • 正确配置:ACL 3000 应该允许(permit) VPN客户端访问内网资源的流量。

    • 常见错误:如果ACL规则写反了(如 deny)或只允许了部分流量,就会导致访问失败

    • 临时测试:如果为了快速测试,可以临时将ACL 3000改为 rule 0 permit ip

      text
      [H3C] acl advanced 3000 [H3C-acl-ipv4-adv-3000] rule 0 permit ip

第三步:检查内网回程路由

数据是双向的。即使VPN客户端的数据包能到达内网服务器,但如果服务器不知道怎么把数据包回传给VPN客户端,通信也会失败

  • 问题场景:当内网服务器(如 192.168.10.2)收到来自VPN客户端(10.10.12.2)的请求时,它需要将回包发送回去。

  • 检查方法:登录到内网的核心交换机或路由器上,检查其路由表。

  • 正确配置:必须存在一条去往 10.10.12.0/24 网段的路由,其下一跳指向防火墙的 SSLVPN-AC1 接口地址 10.10.12.1。或者在防火墙上做好NAT,让内网服务器以为是和防火墙在通信。

第四步:检查防火墙本地策略

你提到ping不通VPN网关 10.10.12.1

  • 设计行为:出于安全考虑,H3C防火墙默认会拒绝VPN用户访问设备自身(Local域) 的流量。

  • 解决方法:这不是一个故障。如果你确实需要从VPN客户端管理防火墙,需要额外放通从 SSLVPN 到 Local 安全域的策略。否则,ping不通网关是正常现象

我可以不引用ACL 么 不引用是全部放行么

zhiliao_xTel8 发表时间:6小时前 更多>>

我可以不引用ACL 么 不引用是全部放行么

zhiliao_xTel8 发表时间:6小时前

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明