1、首先VPN建立状态是通的,并且分支终端(172.16.21.135)ping总部终端(192.168.1.248)是通的,说明VPN及中间网络都是没有问题的
2、在总部AC设备上针对总部终端以及分支终端的IP地址开直通以及添加全局排除测试,测试结果还是无法远程桌面;检查防火墙规则从LAN到VPN是双向放通的
3、检查总部AC设备sangfor VPN的账户是否添加了访问权限,检查发现也是没有的
4、抓包排查,测试ping的时候在AC的LAN口以及vpntun口都可以抓取到数据包;测试从分支AF下端终端telnet总部AC下端的终端时,发现只有在vpntun口能抓取到数据包,只有发送过去的没有回包
5、推断是数据包没有到LAN口,或者是到了LAN口直接又转发到其他的地方了,检查AC设备上的策略路由发现没有针对总部终端IP地址做的策略路由条目
6、检查端口映射配置,发现添加了一条端口映射规则,映射的端口恰好是3389端口,映射到IP地址总部内网的另一个IP地址192.168.1.200,而这个地址恰好在分支终端以及总部AC设备上访问都是不通的
7、禁用端口映射规则或者将映射规则中的“发布服务器”功能去掉,分支终端远程桌面到总部终端正常
建议使用Chrome浏览器访问!