USG6330 ssl vpn网络扩展用户有时能内网资源,有时不能访问,有时访问内网资源马上就连接中断

发布时间:  2015-12-09 浏览次数:  354 下载次数:  0
问题描述
USG6330启用了ssl vpn的网络扩展,用户有时能内网资源,有时不能访问,有时访问内网资源时马上就连接中断,再连接又连接不上。
处理过程

使用网络扩展无法访问内网资源一般有如下几种原因:

原因一:用户PC的虚拟网卡上没有获取到虚拟IP地址。

原因二:虚拟IP地址与NGFW内网接口的IP地址不在同一网段。

原因三:NGFW与内网服务器间路由不可达。

原因四:没有配置可访问内网网段或配置错误。

原因五:安全策略配置错误。

由于实际现象是有时能访问、有时不能访问,因此原因二~原因五基本可以排除,重点确认是否没有获取到虚拟地址。

1、检查ssl vpn可以分配的地址范围,从可分配的地址范围可以发现只有2个地址可供分配,当用户无法访问内网资源时很可能就是没有获取到虚拟地址

[USG6300-cqj-service]display network-extension
 19:25:59  2015/12/09
 
   Virtual IP Pool:
 
   NO.       Start-IP            End-IP              Mask                Alias                           
   ----------------------------------------------------------------------------
   1         192.168.1.1       192.168.1.1       255.255.255.0   

   2        192.168.1.254       192.168.1.254       255.255.255.0                                  
   ----------------------------------------------------------------------------
2、可是有时登录ssl vpn后远程桌面内网服务器时连接马上就中断又是什么原因呢?进一步检查设备配置,发现内网网关地址为192.168.1.1,跟网络扩展可分配的其中一个地址相同,查看连接中断的用户获取到的地址为,确实获取到的地址就为内网网关地址,导致地址冲突,这样远程桌面内网服务器时连接中断也可以解析的通了

[USG6300-cqj-service]display network-extension ip
 19:22:47  2015/12/09
 
                               Client IP Allocation
                               --------------------
 
   NO.   User                             IP            Time of fetching IP
   ------------------------------------------------------------------------------
   1     cqj3                             192.168.1.1   2015/12/09 19:21:36     


3、将可分配的地址范围修改后多次测试正常

根因

网络扩展可分配地址范围设置错误导致

解决方案

将网络扩展可分配地址范围修改如下后测试正常

v-gateway cqj
basic
  ssl version tlsv10 tlsv11 tlsv12
  ssl timeout 5
  ssl lifecycle 1440
  ssl ciphersuit custom aes256-sha des-cbc3-sha rc4-sha rc4-md5 aes128-sha des-cbc-sha
service
  files-share enable
  network-extension enable
  network-extension keep-alive enable
  network-extension keep-alive interval 120
  network-extension netpool 192.168.1.200 192.168.1.254 255.255.255.0

END