根据你的配置,SSL VPN用户(192.168.131.0/24)能访问本地192.168.121.0/24,却无法访问IPsec对端网络(如10.0.0.0/8等),问题很可能出在IPsec的“感兴趣流”没有包含SSL VPN的网段。
简单来说,IPsec VPN只保护它“感兴趣”的流量。如果它的“感兴趣流”定义中没有包含SSL VPN的地址池,那么防火墙就不会将这部分流量送入IPsec隧道,导致无法访问对端。
可以按以下顺序检查并定位问题:
检查IPsec策略中的“感兴趣流”
检查NAT(网络地址转换)策略
检查安全策略
检查路由
确保防火墙的路由表中,有到达IPsec对端网络(如10.0.0.0/8)的路由,且下一跳指向正确的IPsec隧道接口或对端公网地址。
可以通过 display ip routing-table 命令查看。
如果确认是“感兴趣流”的问题,解决方法如下:
1. 在IPsec策略的ACL中添加SSL VPN网段
找到控制IPsec隧道的ACL规则(通常编号为3000系列),在允许的规则中,将源地址或目的地址补充上SSL VPN的地址池。
配置示例(假设原ACL为3000):
2. 修改后需要重置IPsec隧道
修改ACL后,IPsec配置发生了变化,需要重置隧道才能生效。
F100-C-G5 SSL VPN 无法访问 IPsec 对端网段完整排错方案
一、核心原理先理清
SSL VPN 客户端分配的地址池(131 段)属于防火墙本地虚拟内网;IPsec 隧道是站点到站点的三层加密通道。
两端互通必须同时满足:路由可达、域间安全策略放行、IPsec 感兴趣流包含 SSL 地址池、无 NAT 拦截。
二、分步骤排查(按优先级执行)
1. 路由检查(最常见故障点)
① IPsec 对端回程路由缺失
IPsec 对端设备必须存在静态路由:目标网段 = SSL VPN 地址池(131 段),下一跳 = 本地防火墙公网 IP / 隧道接口。
若对端没有 131 段回程路由,流量有去无回,完全不通。
② 本地防火墙路由校验
本地防火墙需确认 IPsec 对端网段路由指向 IPsec 隧道接口:
plaintext
display ip routing-table 对端IPsec网段
SSL 地址池 131 段默认是设备直连虚拟网段,路由天然存在;
查看 IPsec 隧道接口状态:display ipsec sa brief,确认 SA 已建立(你描述隧道联通,SA 正常)。
2. IPsec 感兴趣流 ACL 未包含 SSL 131 段(高频踩坑)
IPsec 加密 ACL(流保护 ACL)只匹配你业务内网,没有把 SSL VPN 131 地址池纳入,导致 SSL 客户端访问对端的流量不会进入 IPsec 隧道,直接走公网被拦截。
修复操作:
编辑 IPsec 加密 ACL(高级 ACL),新增规则:
plaintext
acl number 3000
rule permit ip source 131.0.0.0 0.0.0.255 destination 对端IPsec业务网段 反掩码
# 保留原有内网访问对端的permit规则
刷新 IPsec SA:reset ipsec sa 重建隧道,新 ACL 生效。
3. 安全域 / 安全策略拦截(双向放行)
防火墙默认域间拒绝所有流量,两处策略必须放行:
① SSL VPN 域 → IPsec 隧道所在安全域
SSL VPN 客户端属于安全域 ssl;IPsec 隧道接口一般属于 untrust(公网域)或单独tunnel域。
新建安全策略:
源安全域:ssl
目的安全域:untrust(隧道域)
源地址对象:SSL 地址池 131 段
目的地址对象:IPsec 对端网段
动作:允许
② IPsec 回程流量放行
新增反向策略:源 = 对端网段,目的 = 131 段,动作允许。
验证命令
plaintext
display security-policy rule all | include ssl
4. NAT 策略拦截(关键阻断点)
防火墙默认会对内网访问公网流量做源 NAT,SSL 131 段访问 IPsec 对端时,若匹配出网 NAT,源地址会转换成防火墙公网 IP,IPsec 对端回程路由匹配不到 131 段,断流。
解决方案:配置 NAT 豁免(不走源 NAT)
plaintext
acl number 3999
rule permit ip source 131.0.0.0 0.0.0.255 destination 对端网段 反掩码
nat address-group 1 公网地址池
# 出域untrust时,匹配3999流量不做NAT
nat outbound 3999 address-group 1 no-pat
no-pat 代表匹配这条 ACL 的流量跳过 NAT 转换,保留原始 131 源 IP 穿过 IPsec 隧道。
5. IPsec 隧道接口相关配置校验
隧道接口绑定安全域 untrust,接口 up:display interface Tunnel mode ipsec
IPsec 提议、预共享密钥、对端公网 IP 无错(你已确认隧道联通,可跳过基础协商校验)
关闭隧道接口 ACL 黑名单拦截,或放行双向业务网段流量。
6. 快速定位工具(抓包 / 会话表)
查看防火墙会话表,判断流量卡在哪一步:
plaintext
display session table source 131段地址 destination 对端IP
无会话:安全策略拒绝 / 路由不可达
会话存在但无返回报文:对端无回程路由 / NAT 转换异常
接口抓包:
debugging ipsec packet 看 SSL 客户端流量是否被加密送入隧道。
三、最简整改总结(四步必做)
修改 IPsec 加密 ACL,添加 SSL 131 段访问对端网段的 permit 规则,重置 IPsec SA;
配置 NAT 豁免,131 段访问对端流量不做源 NAT;
新建 ssl→untrust 双向安全策略,放行 131 段与对端网段互访;
协调 IPsec 对端,添加 SSL 131 段静态回程路由,下一跳为本端防火墙公网地址。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论