首页帮助文档按产品找软件故障案例按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载
SSL VPN
SSL VPN 【SSL】所有vpn客户端登录不了

【SSL】所有vpn客户端登录不了

更新时间:2023-06-13 23:27:39
两台设备做的多线路集群,内置网关部署,最近刚部署了防火墙,接两台ssl设备的lan口,外网访问VPN的用户界面打不开,防火墙下架后就正常了,可是防火墙是在内网的。
 
1,确认内网拓扑:公网---AD---核心交换机--ssl(集群,网关部署)---防火墙----内网
2,下架防火墙就正常,很大的可疑就是防火墙,但是用户表示防火墙没有拦截
3,在两台vpn设备的控制台命令界面,抓包vpn设备的lan,wan口的数据包,考虑到外网用户接入数据比较多,
直接在AD上直接telnet集群11.132.11.66的443端口,指定AD设备lan口IP11.132.11.65为条件抓包,减小数据包干扰界面抓包条件设置:
分发器和真实服务器抓包设置条件如下图:
   
4,实际抓包分析结果:
部署在ssl设备lan口的防火墙拦截了443端口的数据包
防火墙放通SSL VPN lan口之间数据包,或者SSL VPN lan口之间采用交换机互连
网关集群环境,用户接入SSL调度分发数据流分析如下:
1,分发器收到公网请求的数据包     
2、分发器调度给自己直接应答   
3、如果调度给真实服务器,分发器会从wan口将数据包发出去,数据包的源IP是公网IP,目的IP是真实服务器wan口IP
4、真实服务器的wan口收到数据包,查询路由,真实服务器的默认路由执行lan口的CIP
5、真实服务器匹配默认路由将数据包转发出去,应答的数据包的源ip是真实服务器的wan口IP,目标IP是公网IP   
6、分发器lan口收到数据包(分发器的防火墙规则需要放通lan-wan),匹配lan-wan防火墙规则将数据包从wan口转发出去,发出去的数据包源IP是wan口的CIP,目标IP是公网IP