• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

经过防火墙SSLvpn连接失败(F100-C-A2)

1天前提问
  • 0关注
  • 0收藏,60浏览
粉丝:0人 关注:0人

问题描述:

终端连接第三方设备ssl vpn 正常只要能访问互联网即可连接,但终端在公司内网就连接失败,目前怀疑是F100-C-A2被过滤掉该流量了,这个怎么可以排查具体问题所在?

组网及组网描述:

防火墙-核心-接入

6 个回答
粉丝:11人 关注:9人

排查步骤及命令:
1. 确认终端到防火墙出口的连通性:
终端ping防火墙公网IP(假设为202.100.1.1):ping 202.100.1.1
若不通,检查核心、接入层路由及ACL是否允许终端访问防火墙。
2. 检查防火墙SSL VPN相关配置:
登录防火墙,查看SSL VPN策略是否允许内网终端访问:
display acl all (确认是否有ACL阻止终端IP段)
display security-policy rule name sslvpn_rule (查看SSL VPN策略是否放行内网终端到公网的SSL流量)
3. 检查防火墙NAT配置:
确认内网终端访问公网时是否做了正确的源NAT:
display nat outbound (查看NAT outbound规则是否包含终端所在网段)
4. 抓包分析:
在防火墙外网口抓包,过滤SSL流量(443端口):
packet-capture interface GigabitEthernet 0/0 filter ip port 443
display packet-capture file flash:/capture.pcap (导出分析是否有终端发出的SSL请求及响应)
5. 检查防火墙日志:
查看是否有SSL VPN连接被拒绝的日志:
display logbuffer | include sslvpn
display security-log | include deny
6. 测试终端直接连接公网(绕开公司网络):
若终端用手机热点能连接SSL VPN,说明公司网络存在限制;若仍失败,可能是终端或VPN服务端问题。

暂无评论

粉丝:2人 关注:2人

安全策略全放通看下

暂无评论

粉丝:132人 关注:11人

看下安全策略情况,看下安全策略日志,有没有放行相应流量 

暂无评论

粉丝:23人 关注:1人

公司内网连不上第三方 SSL VPN,而外网可以,问题大概率出在公司内部的防火墙上。你的怀疑很可能是对的。

可以参考下面的思路,一步步来排查 F100-C-A2 防火墙,定位并解决问题。

📝 排查步骤

1. 基础网络连通性检查

首先确认终端到 VPN 网关的“路”是通的。

  • 测试端口连通性:在终端上用 telnet 或 tcping 命令测试 VPN 网关的 IP 和端口(例如 telnet <VPN网关IP> <端口号>

    • 如果通:说明网络层没问题,问题可能在应用层或防火墙策略。

    • 如果不通:说明流量被中间设备拦截了,重点检查下面的防火墙策略。

2. 检查安全域与安全策略 (最常见原因)

这是最容易出问题的地方。需要确保流量进、出防火墙的“门”都是开的。

  • 检查安全域:确认接收流量的物理接口(比如连接内网的接口)和 SSL VPN 虚接口SSLVPN-AC)都已加入正确的安全域

  • 检查域间策略:检查源安全域到目的安全域之间的策略。需要放行从“内网客户端所在域”到“SSL VPN 网关所在域”,以及“SSL VPN 网关”到“内网资源”的流量

  • 检查安全策略:如果用的是安全策略(非域间策略),确认有规则放行 source-zone 为内网域、destination-zone 为 VPN 网关所在域的流量。

小提示:可以尝试暂时放行所有流量做测试(生产环境慎用)。如果通了,就说明是策略太严,可以再细化调整。

3. 检查 SSL VPN 网关与 AC 接口配置

确保 SSL VPN 服务本身配置正确并已生效。

  • 检查网关状态:用 display sslvpn gateway 命令查看网关状态是否为 Running。同时核对 IP 和端口是否与客户端配置一致

  • 检查 AC 接口:确认 SSLVPN-AC 接口已创建并配置了 IP 地址,且已加入安全域

  • 检查地址池:用 display sslvpn ip address-pool 确认地址池有可用 IP,且网段不与内网冲突

4. 检查证书与协议兼容性

有时问题出在“握手”阶段。

  • 检查证书状态:确认设备使用的 SSL 证书是否有效、可信。可尝试恢复为设备默认证书测试

  • 检查 SSL 策略:查看 ssl server-policy,确认协议版本(如 TLS 1.2)和加密套件与客户端兼容

5. 启用调试与查看日志 (定位关键证据)

如果以上都正常,就需要看防火墙的“内部日志”了。

  • 开启调试:建议在业务低谷时操作。

    text
    <H3C> terminal monitor <H3C> terminal debugging <H3C> debugging sslvpn all // 或 debugging sslvpn error event

  • 查看系统日志:留意 SSL VPN 相关的错误或警告信息。

  • 分析调试信息:关注 debugging 输出的关键字,如 Handshake_failure(证书/加密问题)、Failed to allocate IP(地址池问题)等。

6. 检查客户端与授权

  • 客户端问题:尝试用手机或其他电脑连接,或更新 VPN 客户端版本(如 iNode)

  • 授权问题:检查 SSL VPN 授权(License)是否过期或用户数已满

暂无评论

粉丝:19人 关注:2人

  1. 防火墙内网口(Trust)抓包:看终端是否发出 443 请求;
  2. 防火墙外网口(Untrust)抓包:有无 443 报文出去;
  • 内网有、外网无:防火墙策略 / 应用拦截丢弃;
  • 内外都有但无回包:运营商拦截、VPN 服务器拒绝、NAT 异常。

极简快速排错流程

  1. 内网终端 telnet VPN 443 端口,不通 = 防火墙拦截;
  2. 防火墙查看日志,确认是否应用识别阻断 SSL VPN;
  3. 放行 Trust 到 Untrust TCP443 + 应用 SSL-VPN;
  4. VPN 服务器 IP 加入 SSL 解密、上网行为豁免;
  5. 验证 NAT 策略正常,会话数无超限。

暂无评论

粉丝:0人 关注:0人

你应该只是允许了trust到Untrust  。没有允许trust到local防火墙本地。肯定不行呀。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明