|
一、问题描述 : 客户使用USG6650E防火墙提供SSL VPN业务,网络扩展配置手动路由模式。在“可访问内网网段列表”中新增网段“10.253.1.0/24”。用户下线并重新拨号SSL VPN,无法访问新加网段10.253.1.0/24;防火墙上也看不到用户访问该网段资源的会话。
二、问题分析: 1.检查终端路由表,发现没有生成10.253.1.0/24这条VPN路由,而其它VPN路由正常下发。
2. 登录防火墙检查配置,用户归属于default组,角色授权/用户中,用户组default采用“手动路由模式”,且可访问内网网段列表不包含网段“10.253.1.0/24”。
3.在用户组default的可访问内网网段列表中,添加内网网段“10.253.1.0/24”。
4.用户被踢下线。重新登录,检查本地路由, 存在网段“10.253.1.0/24”的VPN路由。终端也能正常访问该网段的资源。
三、问题原因: SSL VPN拨号启用网络扩展,用户组的路由模式优先于网络扩展路由模式。 如果用户组的路由模式配置成非“虚拟网关路由模式”的其它模式,对网络扩展路由模式和可访问内网网段列表修改,对用户组下的用户不生效。
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63370
发表于 2023-11-14 14:00:00
置顶卡
喧嚣卡
变色卡
千斤顶