USG5530做SSL VPN,网络扩展时,SSL拨号上来的用户ping不通不了内网的地址

发布时间:  2014-12-29 浏览次数:  318 下载次数:  0
问题描述

USG5530做SSL VPN,内网有三个网段:10.10.0.0、10.10.10.0、10.10.20.0.
网络扩展时,SSL拨号上来的用户ping不通不了内网的10段的地址,但是ping0段和20段是可以正常通的

告警信息
处理过程
1.经排除,可以通过SSL VPN拨号到内网,排除SSL VPN隧道未成功建立的情况
2.检查SSL  VPN的配置,看地址池,看地址有没有重叠,经查看配置,排除此原因导致:
3.怀疑是路由不通的情况导致的,经查看路由表,路由是通的:

4.怀疑安全域间策略没有把10段的给放行,经证实,果然没有放行10段的ICMP,10段的只放行了443端口。而0段和20段都放行了。修改域间策略
根因
该问题是安全域间策略有问题,没有对10段的ICMP协议放行
解决方案
修改配置:
policy interzone trust untrust inbound
policy 0
  action permit

  policy destination 10.1.20.0 mask 24
  policy destination 10.1.0.0 mask 24
  policy destination 10.1.10.0 mask 24    //让客户把10段的地址配置上,放行所有端口
建议与总结
1.遇到SSL VPN,首先检查隧道是否正常建立,用户能否拨号到内网
2.拨号成功但是ping不通内网的地址,检查路由是否可达,ping有无会话信息
3.域间安全策略是否放行相应网段ping测试的功能等

END