交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1 、故障现象
1.由于网络的原因或防火墙上没有允许ssl vpn拨入或是没有开启ssl vpn功能会有如下图报错
2.当用户名密码输入不对或是没有在防火墙的安全策略处配置关联ssl vpn的用户组时会出现如下图报错
3.在配置了资源,但是没有把资源加入到资源组的情况下,会出现如下图资源无法显视的情况。
4.使用隧道模式时,点击连接,再点击否,在没有安装客户的端情况下,会出现以下报错。
5.隧道模式,在安装了客户后,在点击连接时针对弹出的提示如果选择了是,就会出现如下图报错。
2、 故障可能原因
客户端与防火墙网络不可达
防火墙配置错误
客户端配置错误
3 、故障处理流程
4、故障处理步骤
步骤1: 确认客户端与防火墙可以正常通信
要成功拨入vpn,首先要确保PC能正常与防火墙通信,通过以下方法测试客户端与防火墙的通信是否正常。
1.在客户端PC上ping防火墙外网接口地址看是否可以ping通;
说明:能ping通只能代表客户端到防火墙的网络是可达的,不能代表SSL服务就一定是放通的。
2.在防火墙上使用debug功能,查看在客户拨号时数据是否已经到达防火墙。如下图表示客户端拨号数据已经正常到达防火墙。
如果在debug时没有没有看到客户端发起的数据,则确认:
a.客户端电脑是否能正常上网;
b.确认防火墙能否正常上公网;
c.确认防火墙是否有在内网,外网的路由器没有给防火墙做ssl vpn的映射,ssl vpn的端口默认为TCP 10443,如果有映射对比映射是否正确。
步骤2 :确认防火墙配置是否正确
第1步、确认防火墙在外网接口上允许了SSL VPN拨入
如图1必须要允许SSL-VPN拨入,没有勾选就会出现如图2的报错,在网络管理--接口--接口处查看配置。
图1
图2
第2步、确认防火墙已经启用了SSL VPN功能
必须启用SSL VPN功能,启用方法参考图1,不启用ssl vpn会出现如图2报错。
注意虚IP地址一定要配置两个以上,如果只配置一个会出现ssl vpn隧道无法建立,会有如图3报错。
图1
图2
图3
第3步、确认是否有做关联ssl vpn用户组的安全规则。
如果没有配置关联ssl vpn用户组的安全规则,会出现如图3报错,在 防火墙--安全策略--安全策略处查看:
如下图:
1.确认否有放通的条目;
2.确认源和目的网段是否配置正确;
3.确认规则是否启用;如没有配置按图2添加规则。
图1
图2
图3
第4步、如果使用SSL VPN的代理模式,确认是否已将资源加入到资源组
在SSL VPN代理模式,必须要把资源加入资源组,否则会出现如图1故障(如果是隧道模式,没有资源显视是正常的),解决方法为把资源加入到资源组如图2,添加组后正常的显视为图3
图1
图2
图3
步骤3:确认客户端参数是否设置正确
第1步、确认客户端用户名密码输入正确
客户端在拨入SSL VPN时用户名密码必须输入正确,否则会出现如图1报错。
图1
第2步、确认SSL VPN客户端已经正常确安装
在没有安装SSL VPN客户端时,如图1点击连接,选择提示"否",会出现如图2的报错;此时需要参考图3,点击“此处”安装客户端,
注意:如图4当点"此处"弹出安全提示后,一定要选择"否",否则会出现如图5报错。
图1
图2
图3
图4
图5
第3步、确认SSL VPN拨入成功
如下图1(代理模式拨入成功)、图2(隧道模式拨入成功)、图3(防火墙上看到的成功拨入用户)为ssl vpn拨入成功的状态,如果没有成功拨入,再次参考骤1、步骤2核对配置,网络是否有问题。如果还是无法解决参考“步骤4:还是无法解决收集信息联系4008111000”
图1
图2
图3
步骤4:还是无法解决收集信息联系4008111000
需要收集的信息:
1.提供以上排查步骤的结果
2.收集当前用户网络完整的拓扑
3.客户端电脑的操作系统信息,电脑的IP地址
show running-config
show version
需要收集的信息解释:
show running-config :收集配置信息,也可以在“系统管理”--“维护”--“备份恢复”处理导出;
show version: 收集版本信息,也可以在WEB界面首页查看。