ssl vpn启用网络扩展,远端pc能够获取到分配的地址,但是ping不通usg2110内侧任何主机。

发布时间:  2012-07-17 浏览次数:  250 下载次数:  0
问题描述

简单组网:

网络扩展客户端(192.168.100.10) ---USG (192.168.0.1, sub ip: 192.168.100.2)----LAN(192.168.0.2)

现象描述:

用户想实现出差员工访问公司内网的功能,用sslvpn来实现。ssl vpn启用网络扩展,远端pc能够获取到分配的地址,但是ping不通usg2110内侧任何主机。

告警信息
处理过程

处理过程:

1.检查usg2110-F的sslvpn的配置,发现无问题。

2.用sslvpn的客户端去ping usg2110的公网地址,能ping通;又用用户内网的计算机去ping usg2110-F的内网地址和公网地址,都能ping通。

3.在墙上能够看到远端pc ping进来的会话,在墙上带出接口地址ping内网pc可以ping通,说明设备到内网路由无问题。

4.在上面的配置情况下:从192.168.100.10的icmp echo request报文能够到达192.168.0.2,但是返回的reply报文在USG产生了re-direct报文。原因还需要进一步调试。

5.usg2110-F的v1r3版本的默认打开快转,导致回来的数据报文无法进入sslvpn的处理,导致错误。
我测试了一下,在内网接口下打上undo ip fast-forwarding qff就可以了。

根因

具体的原因分析:

1.用户sslvpn的配置问题。

2.设配禁ping。

3.用户内网的问题或sslvpn客户端的问题,如:路由问题、计算机或服务器本身的问题(开启了防火墙等)等等。

4.usg2110-F的本身的原因造成的。

建议与总结

建议以后在配置sslvpn时,要注意:在usg2110-F的情况下并且还是V100R003的版本下,一定要在防火墙的内网接口下打上undo ip fast-forwarding qff的命令。

END