USG6680外网通过l2tp over ipsec拨号后无法访问防火墙的管理地址

发布时间:  2016-03-09 浏览次数:  325 下载次数:  0
问题描述
USG6680外网用户通过l2tp over ipsec拨号后,客户端能正常访问内网资源,但无法访问防火墙的内网管理口地址
处理过程

1、外网客户端无法访问防护墙本身,首先考虑的是否没有放开untrust到local区域的安全策略,但检测防火墙配置发现default的安全策略是permit的,即所有区域之间的安全策略都已经放开,没有任何限制;

2、对于下一代防火墙,设备如果需要被ping或者https访问,除了放开安全策略还需要在报文入口开启ping和https的功能;

3、检查配置发现防火墙连接外网接口确实没有开启ping和https服务,开启后外网通过公网地址可以访问防火墙,但是通过l2tp over ipsec拨号后还是无法访问防火墙的内网接口地址,无法通过vpn登录防火墙;

4、由于l2tp over ipsec拨号连接的用户,考虑到用户报文实际是从虚拟的Virtual-Template接口进入防火墙,而不是直接从外网口进入防火墙,因此还需要在Virtual-Template接口下开启https的服务,在VT接口下开启https服务后可以通过vpn正常登录设备。

interface Virtual-Template0

 service-manage https permit

解决方案
从l2tp拨号进来,需要在虚拟接口下开启https的功能

END