请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 1509|回复: 2

【原创】SSLVPN排障过程

[复制链接]
发表于 2019-12-19 06:16:56 | 显示全部楼层 |阅读模式
本帖最后由 l8310892118l 于 2019-12-19 07:16 编辑

        我们公司使用的是FPR2130(上面其实是ASA的镜像)来搭建SSLVPN,有一天增加了一条VPN用户的下发路由和访问控制之后。连接VPN,发现无法访问内网。
        经过几次测试之后发现,通过热点连接SSLVPN没有任何问题,可以正常访问内部资源;通过办公网访问SSLVPN会出现无法访问任何内网资源的情况。我记得之前并没有这个问题呀。因为这个情况并不影响在外使用SSLVPN的员工,所以我们就没有着急,慢慢排查了。

        之前架设SSLVPN的时候,为了方便好记,我们统一使用域名登录访问SSLVPN。vpn.abc.com这个域名在万网上解析为FPR2130的出口公网IP,员工在外通过Anyconnect连接vpn.abc.com就可以访问内网资源。而在公司的话可以直接访问内网,不需要连接SSLVPN。但是为了防止有些用户在公司也使用SSLVPN(有可能是脑子夯住了,公司里出现过很多这种人才)特意在内部DNS上将vpn.abc.com映射为SSLVPN的内网口地址。

        有同仁可能就问了,为什么我们还要在内部DNS上做解析,直接使用在公网做的域名解析不就行了。这个问题很好,原先在我们公司搬家之前,确实是这么用的。但那是因为我们出口防火墙(Juniper SSG550)可以做双向NAT,不会出现所问非所答的问题。现在的出口设备是负载均衡(Redware),不支持 或者说 代理商原来没做过双向NAT,而且设备调试过程中,还出现了很多狗血问题,所以就没有再要求。

        好了,回到原题,为什么使用内部DNS解析的vpn.abc.com登录SSLVPN就无法访问内部资源,这个问题开始让我们很疑惑,并且特意排查了内网核心防火墙的策略(FPR2130内网接口连接核心防火墙)。发现没有任何问题,这让我们开始怀疑FPR2130的配置是不是有些问题了。经过了一系列的思考(有点夸张),最终得出结论,内部用户访问SSLVPN,会出现用户流量从同一个接口进入和离开防火墙的情况,相当于一个Hub-and-Spoke VPN环境。默认情况下这种流量是不被允许的,如果需要激活intra-interface之间的通讯,需要配置same-security-traffic permit intra-interface

        明明之前内网访问VPN也没有任何问题呀,我记得配置过这条命令呀。经过一系列的思考,最终得出结论,可能是我没保存配置。。。。。。

        一时save,一时爽,一直save,一直爽。(Tips:请不要纠正我write才是保存命令,我只是为了顺嘴)

        就是这么个情况,各位见笑,一切为了台历




  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-12-19 10:41:40 | 显示全部楼层
感谢楼主分享,谢谢~
恭喜您获得#2019倒计时#年末回顾梳理,分享赢定制台历活动奖励 - 2020定制台历一本!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-1-1 16:09:18 | 显示全部楼层
我之前也是有次没保存 差点糗大了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-8-11 03:12 , Processed in 0.231417 second(s), 33 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表