技术资料|Technical trainings

SSL VPN虚拟网关失败的故障排查案例

Admin2017-02-24 10:59:17

现象描述： 
从内网访问虚拟网关的地址可以正常登录，但从外网访问时就提示打不开界面。虚拟网关的IP是x.x.x.79。 

常见的可能原因： 
1、 没有放行外网区域与local区域的https访问 
2、 报文来回路径不一致 

排查步骤： 
1、 检查安全策略相关的配置，结果如下： 
# 
interface GigabitEthernet1/0/0 
  ip address x.x.x.79 255.255.255.0 
  gateway x.x.x.1 
# 
firewall zone untrust 
 add interface Dialer0 
 add interface GigabitEthernet1/0/0 
# 
security-policy 
 rule name policy_sslvpn_1 
   source-zone untrust 
   destination-zone local 
   service https 
   action permit 
# 
上面的安全策略配置表明已经放行了外网区域与local区域的https访问。

2、 通过查看防火墙的双向会话信息确认是否存在报文来回路径不一致的问题。外网用户访问虚拟网关时，在诊断视图下查看防火墙的会话信息，结果如下： 
sys       进入系统视图 
diag     进入诊断视图 
display firewall session table verbose-hide both-direction destination global x.x.x.79 tcp destination-port 443      

通过上面的双向会话信息可以发现，正向报文的入接口和反向报文的出接口不是同一个，报文来回路径不一致，导致访问失败。

解决方案: 
在外网接口G1/0/0下开启源进源出功能，命令如下： 
interface GigabitEthernet 1/0/0 
  reverse-route nexthop x.x.x.1              //其中x.x.x.1为该接口的网关IP 
配置此接口的源进源出功能后，外网用户可以正常访问虚拟网关。

• 上一篇： HUAWEI篇 NGFW与AR2200对接基础信息介绍
• 下一篇： 源nat和目的nat的区别