经典案例之修改SSL VPN网络扩展手工路由无法下发问题
一、问题描述 : 客户使用USG6650E防火墙提供SSL VPN业务,网络扩展配置手动路由模式。在“可访问内网网段列表”中新增网段“10.253.1.0/24”。用户下线并重新拨号SSL VPN,无法访问新加网段10.253.1.0/24;防火墙上也看不到用户访问该网段资源的会话。https://forum.huawei.com/enterprise/api/file/v1/small/thread/580940356491546624.png?appid=esc_zh二、问题分析:1.检查终端路由表,发现没有生成10.253.1.0/24这条VPN路由,而其它VPN路由正常下发。https://forum.huawei.com/enterprise/api/file/v1/small/thread/580940356814508032.png?appid=esc_zh
2. 登录防火墙检查配置,用户归属于default组,角色授权/用户中,用户组default采用“手动路由模式”,且可访问内网网段列表不包含网段“10.253.1.0/24”。https://forum.huawei.com/enterprise/api/file/v1/small/thread/580940357032611840.png?appid=esc_zh
3.在用户组default的可访问内网网段列表中,添加内网网段“10.253.1.0/24”。 https://forum.huawei.com/enterprise/api/file/v1/small/thread/580940357250715648.png?appid=esc_zh
4.用户被踢下线。重新登录,检查本地路由, 存在网段“10.253.1.0/24”的VPN路由。终端也能正常访问该网段的资源。https://forum.huawei.com/enterprise/api/file/v1/small/thread/580940357443653632.png?appid=esc_zhhttps://forum.huawei.com/enterprise/api/file/v1/small/thread/580940357628203008.png?appid=esc_zh
三、问题原因: SSL VPN拨号启用网络扩展,用户组的路由模式优先于网络扩展路由模式。如果用户组的路由模式配置成非“虚拟网关路由模式”的其它模式,对网络扩展路由模式和可访问内网网段列表修改,对用户组下的用户不生效。
页:
[1]