【WALL1600 下一代防火墙】SSL VPN 拨入不成功

发布时间：2013-11-22

点击量：2965

1 、故障现象

１.由于网络的原因或防火墙上没有允许ssl vpn拨入或是没有开启ssl vpn功能会有如下图报错

2.当用户名密码输入不对或是没有在防火墙的安全策略处配置关联ssl vpn的用户组时会出现如下图报错

3.在配置了资源，但是没有把资源加入到资源组的情况下，会出现如下图资源无法显视的情况。

4.使用隧道模式时，点击连接，再点击否,在没有安装客户的端情况下，会出现以下报错。

５.隧道模式,在安装了客户后，在点击连接时针对弹出的提示如果选择了是，就会出现如下图报错。

2、故障可能原因
        客户端与防火墙网络不可达
        防火墙配置错误
        客户端配置错误

3 、故障处理流程

4、故障处理步骤

步骤1： 确认客户端与防火墙可以正常通信

要成功拨入vpn，首先要确保PC能正常与防火墙通信，通过以下方法测试客户端与防火墙的通信是否正常。
１.在客户端PC上ping防火墙外网接口地址看是否可以ping通；

说明：能ping通只能代表客户端到防火墙的网络是可达的，不能代表SSL服务就一定是放通的。
2.在防火墙上使用debug功能，查看在客户拨号时数据是否已经到达防火墙。如下图表示客户端拨号数据已经正常到达防火墙。

如果在debug时没有没有看到客户端发起的数据，则确认:
a.客户端电脑是否能正常上网；
b.确认防火墙能否正常上公网；
c.确认防火墙是否有在内网，外网的路由器没有给防火墙做ssl vpn的映射，ssl vpn的端口默认为TCP 10443，如果有映射对比映射是否正确。

步骤2 ：确认防火墙配置是否正确

第1步、确认防火墙在外网接口上允许了SSL VPN拨入
如图１必须要允许SSL-VPN拨入，没有勾选就会出现如图2的报错，在网络管理－－接口－－接口处查看配置。

图1

图2
第2步、确认防火墙已经启用了SSL VPN功能
必须启用SSL VPN功能，启用方法参考图1，不启用ssl vpn会出现如图2报错。
注意虚IP地址一定要配置两个以上，如果只配置一个会出现ssl vpn隧道无法建立，会有如图3报错。

图1

图2

图3
第3步、确认是否有做关联ssl vpn用户组的安全规则。
如果没有配置关联ssl vpn用户组的安全规则，会出现如图3报错，在防火墙－－安全策略－－安全策略处查看:
如下图:
1.确认否有放通的条目；
2.确认源和目的网段是否配置正确；
3.确认规则是否启用；如没有配置按图2添加规则。

图1

图2

图3
第4步、如果使用SSL VPN的代理模式，确认是否已将资源加入到资源组
在SSL VPN代理模式，必须要把资源加入资源组，否则会出现如图1故障(如果是隧道模式，没有资源显视是正常的)，解决方法为把资源加入到资源组如图2,添加组后正常的显视为图3

图1

图2

图3

步骤3：确认客户端参数是否设置正确
第1步、确认客户端用户名密码输入正确
客户端在拨入SSL VPN时用户名密码必须输入正确，否则会出现如图1报错。

图1
第2步、确认SSL VPN客户端已经正常确安装
在没有安装SSL VPN客户端时，如图1点击连接,选择提示"否"，会出现如图2的报错;此时需要参考图3,点击“此处”安装客户端,
注意：如图4当点"此处"弹出安全提示后，一定要选择"否",否则会出现如图5报错。

图1

图2

图3

图4

图5
第3步、确认SSL VPN拨入成功
如下图1(代理模式拨入成功)、图2(隧道模式拨入成功)、图3(防火墙上看到的成功拨入用户)为ssl vpn拨入成功的状态,如果没有成功拨入，再次参考骤1、步骤2核对配置，网络是否有问题。如果还是无法解决参考“步骤4：还是无法解决收集信息联系4008111000”

图1

图2

图3