• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SSL VPN配置好了可以访问公司本地的IP,但是访问不了IPsec配置的IP

1小时前提问
  • 0关注
  • 0收藏,25浏览
粉丝:0人 关注:0人

问题描述:

 

H3C SecPath F100-C-G5  SSL VPN配置的131段的地址访问不了,IPsec里配置对端是联通状态但是就访问不了对端的IP

 

2 个回答
粉丝:25人 关注:1人

根据你的配置,SSL VPN用户(192.168.131.0/24)能访问本地192.168.121.0/24,却无法访问IPsec对端网络(如10.0.0.0/8等),问题很可能出在IPsec的“感兴趣流”没有包含SSL VPN的网段

简单来说,IPsec VPN只保护它“感兴趣”的流量。如果它的“感兴趣流”定义中没有包含SSL VPN的地址池,那么防火墙就不会将这部分流量送入IPsec隧道,导致无法访问对端。

🔍 排查步骤

可以按以下顺序检查并定位问题:

  1. 检查IPsec策略中的“感兴趣流”

    • 这是最可能的原因。执行 display ipsec policy 或 display ipsec policy-template 命令,找到与对端(218.77.59.63等)建立IPsec连接时使用的安全策略(Security Policy Database, SPD) 或ACL规则

    • 仔细查看这些ACL规则中,源地址(source) 是否包含了SSL VPN的地址池 192.168.131.0 255.255.255.0

    • 根据经验,如果这里没有包含,流量就不会被送入IPsec隧道

  2. 检查NAT(网络地址转换)策略

    • 你的NAT策略中有no-nat规则(如GlobalPolicyRule_4),这很好。但需要确认192.168.131.0/24网段访问对端网络(如10.0.0.0/8)的流量,是否也被配置了no-nat

    • 确保这条no-nat规则的优先级高于任何easy-ip的SNAT规则,否则流量会被错误地做了地址转换,导致IPsec隧道无法识别

  3. 检查安全策略

    • 你已经配置了rule 7 name Trust-to-VPN-131,源为Trust,目的为Untrust,源地址为192.168.131.0/24,目的地址为10.0.0.0/8,这看起来是放行SSL VPN到IPsec对端的流量。

    • 但需要确认,你的SSL VPN接口(SSLVPN-AC1)是否被划分在Trust安全域。如果不是,这条策略可能没有命中。建议检查SSL VPN接口所属的安全域

    • 为了快速测试,可以临时创建一条安全策略,放行从SSLVPN-AC1接口所在域到Untrust域的所有流量。

  4. 检查路由

    • 确保防火墙的路由表中,有到达IPsec对端网络(如10.0.0.0/8)的路由,且下一跳指向正确的IPsec隧道接口或对端公网地址。

    • 可以通过 display ip routing-table 命令查看。

✅ 如何解决?

如果确认是“感兴趣流”的问题,解决方法如下:

1. 在IPsec策略的ACL中添加SSL VPN网段

找到控制IPsec隧道的ACL规则(通常编号为3000系列),在允许的规则中,将源地址或目的地址补充上SSL VPN的地址池。

配置示例(假设原ACL为3000):

bash
acl advanced 3000 # 原有规则... # 添加一条新规则,允许从SSL VPN地址池访问对端网络 rule 10 permit ip source 192.168.131.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 # 根据对端网络情况,可能还需要添加访问172.16.0.0/16和192.168.111.0/24的规则

2. 修改后需要重置IPsec隧道

修改ACL后,IPsec配置发生了变化,需要重置隧道才能生效。

bash
# 先清除现有的IPsec安全联盟(SA) reset ipsec sa # 再清除IKE安全联盟(SA) reset ike sa

隧道会重新协商,新的“感兴趣流”就会生效

暂无评论

粉丝:23人 关注:2人

F100-C-G5 SSL VPN 无法访问 IPsec 对端网段完整排错方案
一、核心原理先理清
SSL VPN 客户端分配的地址池(131 段)属于防火墙本地虚拟内网;IPsec 隧道是站点到站点的三层加密通道。
两端互通必须同时满足:路由可达、域间安全策略放行、IPsec 感兴趣流包含 SSL 地址池、无 NAT 拦截。
二、分步骤排查(按优先级执行)
1. 路由检查(最常见故障点)
① IPsec 对端回程路由缺失
IPsec 对端设备必须存在静态路由:目标网段 = SSL VPN 地址池(131 段),下一跳 = 本地防火墙公网 IP / 隧道接口。
若对端没有 131 段回程路由,流量有去无回,完全不通。
② 本地防火墙路由校验
本地防火墙需确认 IPsec 对端网段路由指向 IPsec 隧道接口:
plaintext
display ip routing-table 对端IPsec网段
SSL 地址池 131 段默认是设备直连虚拟网段,路由天然存在;
查看 IPsec 隧道接口状态:display ipsec sa brief,确认 SA 已建立(你描述隧道联通,SA 正常)。
2. IPsec 感兴趣流 ACL 未包含 SSL 131 段(高频踩坑)
IPsec 加密 ACL(流保护 ACL)只匹配你业务内网,没有把 SSL VPN 131 地址池纳入,导致 SSL 客户端访问对端的流量不会进入 IPsec 隧道,直接走公网被拦截。
修复操作:
编辑 IPsec 加密 ACL(高级 ACL),新增规则:
plaintext
acl number 3000
rule permit ip source 131.0.0.0 0.0.0.255 destination 对端IPsec业务网段 反掩码
# 保留原有内网访问对端的permit规则
刷新 IPsec SA:reset ipsec sa 重建隧道,新 ACL 生效。
3. 安全域 / 安全策略拦截(双向放行)
防火墙默认域间拒绝所有流量,两处策略必须放行:
① SSL VPN 域 → IPsec 隧道所在安全域
SSL VPN 客户端属于安全域 ssl;IPsec 隧道接口一般属于 untrust(公网域)或单独tunnel域。
新建安全策略:
源安全域:ssl
目的安全域:untrust(隧道域)
源地址对象:SSL 地址池 131 段
目的地址对象:IPsec 对端网段
动作:允许
② IPsec 回程流量放行
新增反向策略:源 = 对端网段,目的 = 131 段,动作允许。
验证命令
plaintext
display security-policy rule all | include ssl
4. NAT 策略拦截(关键阻断点)
防火墙默认会对内网访问公网流量做源 NAT,SSL 131 段访问 IPsec 对端时,若匹配出网 NAT,源地址会转换成防火墙公网 IP,IPsec 对端回程路由匹配不到 131 段,断流。
解决方案:配置 NAT 豁免(不走源 NAT)
plaintext
acl number 3999
rule permit ip source 131.0.0.0 0.0.0.255 destination 对端网段 反掩码

nat address-group 1 公网地址池
# 出域untrust时,匹配3999流量不做NAT
nat outbound 3999 address-group 1 no-pat
no-pat 代表匹配这条 ACL 的流量跳过 NAT 转换,保留原始 131 源 IP 穿过 IPsec 隧道。
5. IPsec 隧道接口相关配置校验
隧道接口绑定安全域 untrust,接口 up:display interface Tunnel mode ipsec
IPsec 提议、预共享密钥、对端公网 IP 无错(你已确认隧道联通,可跳过基础协商校验)
关闭隧道接口 ACL 黑名单拦截,或放行双向业务网段流量。
6. 快速定位工具(抓包 / 会话表)
查看防火墙会话表,判断流量卡在哪一步:
plaintext
display session table source 131段地址 destination 对端IP
无会话:安全策略拒绝 / 路由不可达
会话存在但无返回报文:对端无回程路由 / NAT 转换异常
接口抓包:
debugging ipsec packet 看 SSL 客户端流量是否被加密送入隧道。
三、最简整改总结(四步必做)
修改 IPsec 加密 ACL,添加 SSL 131 段访问对端网段的 permit 规则,重置 IPsec SA;
配置 NAT 豁免,131 段访问对端流量不做源 NAT;
新建 ssl→untrust 双向安全策略,放行 131 段与对端网段互访;
协调 IPsec 对端,添加 SSL 131 段静态回程路由,下一跳为本端防火墙公网地址。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明