问题描述1,组网信息
xx项目网络结构如下,出口设备是USG6507防火墙,连接电信外网。现在客户需要通过ssl vpn连接来访问内网资源。
2,部署ssl vpn启用网络扩展功能,用户获取的地址192.168.100.151-199,开放访问192.168.0.0/16网段。
3,问题现象
用户获取地址192.168.100.155,无法访问192.168.100.254。
处理过程
1,在防火墙上查询会话表项,发现没有对应的会话表项。
2,由于没有会话表项,初步判断是防火墙与192.168.100.254核心交换机路由不可达
结果显示,防火墙与192.168.100.254核心交换机之间路由可达。
3,由于没有会话表项,而可以ssl vpn连接到防火墙,且防火墙与核心交换机之间没有问题,所以可以判断是策略问题,所以检查策略配置
结果显示没有对应192.168.100.0/24到192.168.100.0/24的策略放行表现。
4,配置策略放行
根因
问题的根因是错误的认为在配置ssl vpn的时候配置的放行策略就ok,实际上还要在全局配置策略放行vpn用户与被访问资源的之间策略。
解决方案
在防火墙上配置策略放行
END
