所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

Secospace USG6306 部分sslvpn用户无法通过防火墙访问特定的域名

发布时间:  2020-02-14  |   浏览次数:  95  |   下载次数:  0  |   作者:  yWX854914  |   文档编号: EKB1100045263

目录

问题描述

通过sslvpn连接防火墙后通过防火墙访问某特定域名,用户使用nslookup解析ip后在sslvpn的网络拓展里面进行了配置,出现部分用户可以访问成功,部分用户无法访问,但是可以ping通域名。

ssl客户端——usg——某服务器

USG版本V500R005C00SPC200

告警信息

浏览器报错:403


处理过程

首先sslvpn能连上说明sslvpn连接无问题,其次部分用户能正常访问说明对端的web服务也是正常的。进一步分析浏览器报错为403,可以确定是无权限访问或者被禁止访问,基于此可以推测对端做了白名单限制,只有对应ip的地址才能访问,所以sslvpn流量进来访问此域名做了nat设置转换sslvpn地址为白名单地址,但是部分用户不可以访问,和推断的白名单ip可以访问相矛盾。再进一步分析发现客户局点解析到的是ip A,而不能访问的局点解析到的ip 分别是B、C。查询会话表发现访问B C的会话是不存在的,基于此推测能ping通域名是走的本地网络。 询问客户后发现移动网络解析都是A,电信联通解析分别为B、C。

根因

对端有全局负载均衡设备,针对不同运营商客户端的dns请求解析不同的服务器ip,和dns地址无关。

解决方案

用dig +trace解析域名A记录发现除了已配置的ip A 和未配置的ip B、C,并无其他A记录,让客户在sslvpn网络拓展里面新加上ip B、C后问题解决

建议与总结

一般大型网站都会做全局负载均衡,需要在配置前考虑到这点