SSL VPN虛擬網(wǎng)關(guān)失敗的故障排查案例
現(xiàn)象描述:
從內(nèi)網(wǎng)訪問虛擬網(wǎng)關(guān)的地址可以正常登錄����,但從外網(wǎng)訪問時就提示打不開界面����。虛擬網(wǎng)關(guān)的IP是x.x.x.79。
常見的可能原因:
1����、 沒有放行外網(wǎng)區(qū)域與local區(qū)域的https訪問
2、 報文來回路徑不一致
排查步驟:
1����、 檢查安全策略相關(guān)的配置����,結(jié)果如下:
#
interface GigabitEthernet1/0/0
ip address x.x.x.79 255.255.255.0
gateway x.x.x.1
#
firewall zone untrust
add interface Dialer0
add interface GigabitEthernet1/0/0
#
security-policy
rule name policy_sslvpn_1
source-zone untrust
destination-zone local
service https
action permit
#
上面的安全策略配置表明已經(jīng)放行了外網(wǎng)區(qū)域與local區(qū)域的https訪問����。
2����、 通過查看防火墻的雙向會話信息確認(rèn)是否存在報文來回路徑不一致的問題。外網(wǎng)用戶訪問虛擬網(wǎng)關(guān)時����,在診斷視圖下查看防火墻的會話信息,結(jié)果如下:
sys 進(jìn)入系統(tǒng)視圖
diag 進(jìn)入診斷視圖
display firewall session table verbose-hide both-direction destination global x.x.x.79 tcp destination-port 443
通過上面的雙向會話信息可以發(fā)現(xiàn)����,正向報文的入接口和反向報文的出接口不是同一個,報文來回路徑不一致����,導(dǎo)致訪問失敗。
解決方案:
在外網(wǎng)接口G1/0/0下開啟源進(jìn)源出功能����,命令如下:
interface GigabitEthernet 1/0/0
reverse-route nexthop x.x.x.1 //其中x.x.x.1為該接口的網(wǎng)關(guān)IP
配置此接口的源進(jìn)源出功能后����,外網(wǎng)用戶可以正常訪問虛擬網(wǎng)關(guān)����。
Admin
2017-02-24 10:59:17
021-62279227
發(fā)送郵件
