【WALL1600 下一代防火墙】SSL VPN 拨入不成功

发布时间: 2013-11-22 点击量:643 打印 字体:

1 、故障现象
 

1.由于网络的原因或防火墙上没有允许ssl vpn拨入或是没有开启ssl vpn功能会有如下图报错
 
 2.当用户名密码输入不对或是没有在防火墙的安全策略处配置关联ssl vpn的用户组时会出现如下图报错
 
 3.在配置了资源,但是没有把资源加入到资源组的情况下,会出现如下图资源无法显视的情况。
 

 4.使用隧道模式时,点击连接,再点击否,在没有安装客户的端情况下,会出现以下报错。


 
5.隧道模式,在安装了客户后,在点击连接时针对弹出的提示如果选择了是,就会出现如下图报错。
 

2、 故障可能原因
        客户端与防火墙网络不可达
        防火墙配置错误
        客户端配置错误

3 、故障处理流程

4、故障处理步骤

步骤1: 确认客户端与防火墙可以正常通信

要成功拨入vpn,首先要确保PC能正常与防火墙通信,通过以下方法测试客户端与防火墙的通信是否正常。
1.在客户端PC上ping防火墙外网接口地址看是否可以ping通;
 
说明:能ping通只能代表客户端到防火墙的网络是可达的,不能代表SSL服务就一定是放通的。
2.在防火墙上使用debug功能,查看在客户拨号时数据是否已经到达防火墙。如下图表示客户端拨号数据已经正常到达防火墙。
 

如果在debug时没有没有看到客户端发起的数据,则确认:
a.客户端电脑是否能正常上网;
b.确认防火墙能否正常上公网;
c.确认防火墙是否有在内网,外网的路由器没有给防火墙做ssl vpn的映射,ssl vpn的端口默认为TCP 10443,如果有映射对比映射是否正确
 

步骤2 :确认防火墙配置是否正确

第1步、确认防火墙在外网接口上允许了SSL VPN拨入
如图1必须要允许SSL-VPN拨入,没有勾选就会出现如图2的报错,在网络管理--接口--接口处查看配置。
 
图1
 
图2
第2步、确认防火墙已经启用了SSL VPN功能
必须启用SSL VPN功能,启用方法参考图1,不启用ssl vpn会出现如图2报错。
注意虚IP地址一定要配置两个以上,如果只配置一个会出现ssl vpn隧道无法建立,会有如图3报错。
 
图1
 
图2
 
图3
第3步、确认是否有做关联ssl vpn用户组的安全规则。
如果没有配置关联ssl vpn用户组的安全规则,会出现如图3报错,在 防火墙--安全策略--安全策略处查看:
如下图:
1.确认否有放通的条目;
2.确认源和目的网段是否配置正确;
3.确认规则是否启用;如没有配置按图2添加规则。
 
图1
 
图2
 
图3
第4步、如果使用SSL VPN的代理模式,确认是否已将资源加入到资源组
在SSL VPN代理模式,必须要把资源加入资源组,否则会出现如图1故障(如果是隧道模式,没有资源显视是正常的),解决方法为把资源加入到资源组如图2,添加组后正常的显视为图3
 
图1
 
图2
 
图3

 

步骤3:确认客户端参数是否设置正确
第1步、确认客户端用户名密码输入正确
客户端在拨入SSL VPN时用户名密码必须输入正确,否则会出现如图1报错。
 
图1
第2步、确认SSL VPN客户端已经正常确安装
在没有安装SSL VPN客户端时,如图1点击连接,选择提示"否",会出现如图2的报错;此时需要参考图3,点击“此处”安装客户端,
注意:如图4当点"此处"弹出安全提示后,一定要选择"否",否则会出现如图5报错。
 
图1
 
图2
 
图3
 
图4 
 
图5 
第3步、确认SSL VPN拨入成功
如下图1(代理模式拨入成功)、图2(隧道模式拨入成功)、图3(防火墙上看到的成功拨入用户)为ssl vpn拨入成功的状态,如果没有成功拨入,再次参考骤1、步骤2核对配置,网络是否有问题。如果还是无法解决参考“步骤4:还是无法解决收集信息联系4008111000”
 
图1
 
图2
 
图3 

 

步骤4:还是无法解决收集信息联系4008111000
需要收集的信息:
1.提供以上排查步骤的结果
2.收集当前用户网络完整的拓扑
3.客户端电脑的操作系统信息,电脑的IP地址
show running-config
show version

需要收集的信息解释:
show running-config :收集配置信息,也可以在“系统管理”--“维护”--“备份恢复”处理导出;
show version:  收集版本信息,也可以在WEB界面首页查看。
        

 

 


 

 

 

00 分享 纠错
相关条目