xx项目USG6000防火墙 ssl vpn连接成功之后无法访问内网资源

发布时间:  2016-07-31 浏览次数:  445 下载次数:  0
问题描述

1,组网信息

  xx项目网络结构如下,出口设备是USG6507防火墙,连接电信外网。现在客户需要通过ssl vpn连接来访问内网资源。


2,部署ssl vpn启用网络扩展功能,用户获取的地址192.168.100.151-199,开放访问192.168.0.0/16网段。



3,问题现象

   用户获取地址192.168.100.155,无法访问192.168.100.254


 

 

 

 

 

 

 

处理过程

1,在防火墙上查询会话表项,发现没有对应的会话表项。

2,由于没有会话表项,初步判断是防火墙与192.168.100.254核心交换机路由不可达


结果显示,防火墙与192.168.100.254核心交换机之间路由可达。

3,由于没有会话表项,而可以ssl vpn连接到防火墙,且防火墙与核心交换机之间没有问题,所以可以判断是策略问题,所以检查策略配置

 


结果显示没有对应192.168.100.0/24192.168.100.0/24的策略放行表现。

 

4,配置策略放行


 

 

 

根因

问题的根因是错误的认为在配置ssl vpn的时候配置的放行策略就ok,实际上还要在全局配置策略放行vpn用户与被访问资源的之间策略。

解决方案

在防火墙上配置策略放行


END