用户SSL VPN接入总部通过sangforvpn访问不到对端的服务器

更新时间：2019-01-13

阅读权限：游客
下载
分享本内容
微博

QQ

QQ 空间

复制链接
分享
收藏

所属模块用户资源角色 | TCP&L3VPN资源

适用版本通用

SSL VPN设备与对端某公司设备建立了sangfor vpn，SSL VPN内网可以访问服务器，外网用户通过SSL VPN接入访问不到对端的服务器，SSL上发布的是L3VPN资源，SSL网关部署，本端拓扑公网--SSL--2SW--内网

对端某公司设备拓扑公网--路由器--2SW--内网

某公司VPN

①资源访问如果以设备IP为源IP,外网用户接入SSL VPN，数据首先发到ssl vpn的Tun口，查路由，发往vpntun口，到达vpntun口和对端服务器收到的源IP是设备的vpntun口地址，目的IP是对端服务器的地址，对端没有写ssl vpntun口ip网段的回包路由，导致回包不到对端的sangfor vpn设备，从而访问不到

②资源访问如果以虚拟IP为源IP,外网用户接入SSL VPN，数据首先发到ssl vpn的Tun口，查路由，发往vpntun口,到达vpntun口和对端服务器收到的源IP是ssl虚拟IP池的IP地址，目的IP是对端服务器的地址，同样对端没有写ssl虚拟ip池网段的回包路由，导致回包不到对端的sangfor vpn设备，从而访问不到

总结一下：对端是通过用户获取的虚拟ip或者vpntun口ip去访问对端服务器的，对端没有回包路由

方案一、对端内网路由器配置SSL VPN虚拟ip网段和SSL VPN的vpntun口的ip回包路由

查看SSL VPN虚拟ip地址段

查看SSL VPN的vpntun口ip

方案二、在SSL VPN设备配置源地址转换（使对端服务器收到的数据包的源IP是ssl设备lan口IP地址，从而可以正常回包到对端的某公司设备）

{{contentObj.name||'--'}}

{{contentObj.name||'--'}}

深信服自助服务平台

SSL VPN

用户SSL VPN接入总部通过sangforvpn访问不到对端的服务器