技術(shù)資料|Technical trainings

SSL VPN虛擬網(wǎng)關(guān)失敗的故障排查案例

Admin2017-02-24 10:59:17

現(xiàn)象描述： 
從內(nèi)網(wǎng)訪問虛擬網(wǎng)關(guān)的地址可以正常登錄，但從外網(wǎng)訪問時就提示打不開界面。虛擬網(wǎng)關(guān)的IP是x.x.x.79。 

常見的可能原因： 
1、 沒有放行外網(wǎng)區(qū)域與local區(qū)域的https訪問 
2、 報文來回路徑不一致 

排查步驟： 
1、 檢查安全策略相關(guān)的配置，結(jié)果如下： 
# 
interface GigabitEthernet1/0/0 
  ip address x.x.x.79 255.255.255.0 
  gateway x.x.x.1 
# 
firewall zone untrust 
 add interface Dialer0 
 add interface GigabitEthernet1/0/0 
# 
security-policy 
 rule name policy_sslvpn_1 
   source-zone untrust 
   destination-zone local 
   service https 
   action permit 
# 
上面的安全策略配置表明已經(jīng)放行了外網(wǎng)區(qū)域與local區(qū)域的https訪問。

2、 通過查看防火墻的雙向會話信息確認是否存在報文來回路徑不一致的問題。外網(wǎng)用戶訪問虛擬網(wǎng)關(guān)時，在診斷視圖下查看防火墻的會話信息，結(jié)果如下： 
sys       進入系統(tǒng)視圖 
diag     進入診斷視圖 
display firewall session table verbose-hide both-direction destination global x.x.x.79 tcp destination-port 443      

通過上面的雙向會話信息可以發(fā)現(xiàn)，正向報文的入接口和反向報文的出接口不是同一個，報文來回路徑不一致，導(dǎo)致訪問失敗。

解決方案: 
在外網(wǎng)接口G1/0/0下開啟源進源出功能，命令如下： 
interface GigabitEthernet 1/0/0 
  reverse-route nexthop x.x.x.1              //其中x.x.x.1為該接口的網(wǎng)關(guān)IP 
配置此接口的源進源出功能后，外網(wǎng)用戶可以正常訪問虛擬網(wǎng)關(guān)。

• 上一篇： HUAWEI篇 NGFW與AR2200對接基礎(chǔ)信息介紹
• 下一篇： 源nat和目的nat的區(qū)別