安全产品SVN5830(V200R003)SSL VPN访问服务器失败故障

发布时间:  2015-09-01 浏览次数:  356 下载次数:  0
问题描述

SVN5530单臂旁挂于防火墙上,为远程接入用户提供SSL VPN业务。配置成功后,出差员工可以SSL VPN连接到SVN设备,并成功获取地址池10.0.100.0/24IP地址,可以正常访问交换机互联地址10.0.100.69,但是无法访问应用服务器网段211.11.106.0/24网段,且无法ping通。

 

处理过程

1.   查看出口防火墙区域间策略,10.0.100.0/24211.11.106.0/24网段间策略为permit,排除安全策略原因。

2.  SVN5830设备ping访问211.11.106.0网段应用服务器,连通性正常,在交换机及防火墙查看路由表,均有去往10.0.100.0/24网段路由条目,排除路由原因。

3.   查看出口防火墙策略路由,发现基于211.11.106.0/24网段的源地址策略路由配置下一跳网关是教育网出口。

根因

由于出口防火墙基于211.11.106.0/24(应用服务器网段)的源地址策略路由出口为教育网,造成SSL VPN用户在访问应用服务器时,返回数据包到达防火墙后,根据策略路由直接转发到教育网,这样SVN5830设备得不到返回数据包,导致SSL VPN用户无法访问应用服务器的现象。

解决方案

在出口防火墙添加一条211.11.106.0/24(源地址)--------à 10.0.100.0/24(目的地址)的策略路由,下一跳网关为SVN5830,这样SSL VPN用户访问应用服务器时就可以得到返回数据。

测试结果显示添加该条策略路由后,SSL VPN用户可以正常访问应用服务器,且不影响原教育网应用。

建议与总结

1.       建议在配置SSL VPN应用时,可以先在接口做SSL的连接测试,确定配置无误的情况下,检查路由、安全策略以及出口设备的策略路由。

2.       建议在出口设备做NAT映射时,只映射TCP 443端口,保证SSL VPN连接即可,增加网络安全性。

END