2. 拨号成功后无法访问资源。
故障现象确认
1) 客户端拨号成功,有获取到ip地址,但是无法访问内网资源,无法ping通虚拟网关。
2) web资源无法访问,或者某些页面显示不全。
故障原因
1) 隧道资源无法访问
a. 经常会碰到获取到ip地址,但是ping不通虚拟网关(即设备上的SSLVPN的虚拟接口地址)的故障,这时要去检查下隧道资源是否下发网关网段的资源(SSLVPN与L2TP不同,L2TP默认虚拟接口地址是可以ping通的,SSLVPN不同,它默认是不通的,需要把虚拟接口地址添加到SSLVPN的隧道资源里,在用户拨成功后,才会给电脑下发相应的路由,才能被ping通),如果没有下发是ping不通的。
b. 隧道资源本身连通性问题,比如没有配置网关
c. 内网有acl过滤或者开web认证,但是隧道资源没有免认证
d. 设备配置策略路由让服务器走指定线路导致sslvpn访问失败
2) web资源无法访问
a. web服务器联通性问题
b. acl过滤或者内网开web认证或上网屏蔽模式或行为策略等
c. web资源页面或者组建缺失,有可能是设备web资源url改写不全导致
d. dns解析问题
排查步骤
1) 隧道资源无法访问
a. 如果出现获取到虚拟地址但是ping不通虚拟网关的故障,首先到隧道资源处查看是否下发网关的隧道资源。
b. 检查隧道资源连通性问题,可以在设备上带外网口地址或者ssl虚拟网关地址去ping内网资源,看是否通。
如果不通,先到服务器上检查下是否有配置网关,如果没有建议添加,因为隧道模式是路由转发,不配置网关无法跨网段互访。
c. 检查内网交换机是否有配置acl过滤端口
检查内网二层或者三层交换机是否配置acl限制某些资源互访。
d. 检查设备是否开启web认证或上网屏蔽模式
如果设备开启web认证或上网屏蔽模式,检查下内网服务器资源是否加免认证或免屏蔽资源,没有加免认证或免屏蔽会导致服务器回包被设备丢掉。
e. 检查设备是否配置策略路由
如果eg或者nbr上配置了服务器网段的策略路由,会导致服务器回包走策略路由而不会送到隧道中。所以如果有配置策略路由,需要排除内网访问ssl 地址池资源的数据。
比如,内网服务器地址是192.168.1.200,ssl vpn虚拟地址是10.1.1.0段,策略路由配置1.200段走1.1.1.1这个线路,正确的acl配置如下:
access-list 101
deny ip host 192.168.1.200
10.1.1.0 0.0.0.255——即回应给隧道资源的数据不匹配策略路由
access-list 101
permit ip 192.168.1.200 0.0.0.255 any
2) web资源无法访问
a. 检查web服务器能否访问nbr或者eg的内网口地址。如果不通,参考上不了网章节排查内网环境问题。
b. 检查设备是否开启web认证,如果开启需要将服务器地址加入免认证用户
c. 检查是否配置策略路由,参考隧道模式的配置。
d. 如果访问web资源时出现部分网页显示不全或者点击某些按钮没有响应,建议客户先在其内网用其他pc测试服务器端口是否正常。
如果内网测试正常,初步怀疑是设备url改写不全导致,属于产品限制(即设备代理不成功)。可以通过添加服务器到隧道资源,然后web界面关闭url改写的方式规避,这样客户依旧可以使用web链接的方式打开资源,而实际走的是隧道,就不存在改写限制的问题了。
url改写限制说明:WEB接入方式基于WEB代理实现,对WEB元素进行改写,由于这种实现方式的局限性及技术的难度性,我司的SSLVPN WEB接入对WEB资源的支持并不完
美,偶尔会出现排版出错、数据无法渲染的情况。
e. 检查dns配置是否正确,能否正常解析。
查看对SSLVPN生效的DNS服务器(修改内网DNS后是否有重启SSLVPN服务)
Ruijie#show sslvpn
gateway
Primary DNS:
192.168.58.110 //SSLVPN服务器实际使用内网DNS服务器
SSLVPN服务器通过ping或tratraceroute命令诊断内网DNS服务器的网络是否可达。
确定内网DNS服务器正常运行:可通过抓包或用内网的PC也通过该DNS解析域名。
如果dns解析异常,建议更改客户端分配的dns地址解决。