公司内网连不上第三方 SSL VPN,而外网可以,问题大概率出在公司内部的防火墙上。你的怀疑很可能是对的。
可以参考下面的思路,一步步来排查 F100-C-A2 防火墙,定位并解决问题。
首先确认终端到 VPN 网关的“路”是通的。
测试端口连通性:在终端上用 telnet 或 tcping 命令测试 VPN 网关的 IP 和端口(例如 telnet <VPN网关IP> <端口号>)。
如果通:说明网络层没问题,问题可能在应用层或防火墙策略。
如果不通:说明流量被中间设备拦截了,重点检查下面的防火墙策略。
这是最容易出问题的地方。需要确保流量进、出防火墙的“门”都是开的。
检查安全域:确认接收流量的物理接口(比如连接内网的接口)和 SSL VPN 虚接口(SSLVPN-AC)都已加入正确的安全域。
检查域间策略:检查源安全域到目的安全域之间的策略。需要放行从“内网客户端所在域”到“SSL VPN 网关所在域”,以及“SSL VPN 网关”到“内网资源”的流量。
检查安全策略:如果用的是安全策略(非域间策略),确认有规则放行 source-zone 为内网域、destination-zone 为 VPN 网关所在域的流量。
小提示:可以尝试暂时放行所有流量做测试(生产环境慎用)。如果通了,就说明是策略太严,可以再细化调整。
确保 SSL VPN 服务本身配置正确并已生效。
检查网关状态:用 display sslvpn gateway 命令查看网关状态是否为 Running。同时核对 IP 和端口是否与客户端配置一致。
检查地址池:用 display sslvpn ip address-pool 确认地址池有可用 IP,且网段不与内网冲突。
有时问题出在“握手”阶段。
如果以上都正常,就需要看防火墙的“内部日志”了。
开启调试:建议在业务低谷时操作。
查看系统日志:留意 SSL VPN 相关的错误或警告信息。
分析调试信息:关注 debugging 输出的关键字,如 Handshake_failure(证书/加密问题)、Failed to allocate IP(地址池问题)等。
暂无评论
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论