xx项目USG6000防火墙 ssl vpn连接成功之后无法访问内网资源

发布时间: 2016-07-31 浏览次数: 1069 下载次数: 0

问题描述

1,组网信息

xx项目网络结构如下，出口设备是USG6507防火墙，连接电信外网。现在客户需要通过ssl vpn连接来访问内网资源。

2，部署ssl vpn启用网络扩展功能，用户获取的地址192.168.100.151-199,开放访问192.168.0.0/16网段。

3，问题现象

用户获取地址192.168.100.155，无法访问192.168.100.254。

处理过程

1,在防火墙上查询会话表项，发现没有对应的会话表项。

2,由于没有会话表项，初步判断是防火墙与192.168.100.254核心交换机路由不可达

结果显示，防火墙与192.168.100.254核心交换机之间路由可达。

3，由于没有会话表项，而可以ssl vpn连接到防火墙，且防火墙与核心交换机之间没有问题，所以可以判断是策略问题，所以检查策略配置

结果显示没有对应192.168.100.0/24到192.168.100.0/24的策略放行表现。

4，配置策略放行

根因

问题的根因是错误的认为在配置ssl vpn的时候配置的放行策略就ok，实际上还要在全局配置策略放行vpn用户与被访问资源的之间策略。

解决方案

在防火墙上配置策略放行

END

作者 : zhongyang_chen

文档编号： EKB1000140503

故障类型 :