深信服ssl vpn最基本排错办法.ppt

1、SSL VPN最最基本排错,WEB资源介绍,WEB资源实现原理：WEB 资源的实现是靠设备进行协议转换，将访问的协议转换成https协议。 使用范围：web资源不需客户端控件支持，可以支持所 有浏览器。web资源目前仅支持支持HTTP、HTTPS、 FTP、MAIL四种资源,WEB资源介绍,Web资源访问流程,客户端连接 https:/192.200.200.235/web/1/http/2/192.200.200.55/src/login.php SSL设备将客户端的请求地址转换为http:/192.200.200.55/src/login.php并将请求发到服务器 服务器回应请求，返回所请

2、求的页面到SSLVPN设备 SSLVPN对页面内容进行分析，把页面上所有的链接以及图片之类的链接都修改成https:/192.200.200.235/web/1/http/2/XXXXX的类型。 SSL设备将修改完的页面返回给客户端。 所以，http类型主要是通过修改URL来实现的：1.修改客户端请求的URL；2.修改服务器返回的页面内容的链接的URL。,SSL设备地址：192.200.200.235 服务器地址：192.200.200.55,2,3,1,TCP资源介绍,TCP资源介绍,TCP服务功能由两部分实现：1.客户端控件proxyIE. 2.服务端proxy。工作原理是建立代理机制，发

3、出去的包都经过了设备的截取并代理，回来的包也一样。App服务，在完成配置ProxyIE后，ProxyIE开始侦听本地端口。App服务应用程序首先连接到ProxyIE，ProxyIE与mod_mvcon模块交互后，该连接将被转移给服务端的proxy处理，建立vpn数据通道，proxy最终与应用程序建立连接。,L3VPN 资源,排错工具与思路,Svpntool工具的使用方法,svpntool工具的作用svpntool工具是专门用于SANGFOR SSLVPN客户端控件的查看、安装、卸载等操作，可以帮助我们对客户端安装的控件进行完全的卸载，或者是重新安装以解决某些时候客户端控件的问题，也可以帮助我们

4、在客户端访问SSL VPN有问题的时候来作为一个判断的手段。,svpntool工具获取方法1、http:/ip/com/win/svpntool.zip （IP字段为SSL设备的IP地址）2. 通过任意一台5.0及以上版本的SSL设备客户端登录页面下载,问题处理思路,一般SSL VPN的问题可以分为三类。1、客户端PC2、设备端配置3、网络的问题。在处理问题时最重要的一点是，必须先判断出问题是出在客户端还是设备端还是网络端，然后对应问题进行解决，而不是毫无目的去查找问题和处理问题。,排错指引,客户端故障定位及解决方法,1、插件是否安装 2、本地防火墙杀毒软件 3、浏览器缓存及设置 4、代理服务

5、器 5、权限问题 6、系统问题,插件是否安装,本地防火墙与杀毒软件,注：在安装控件的过程中可能会因为本地防火墙、360安全卫士、以及浏览器本身的一些安全防护作用，会弹出如上的提示框，点击允许即可。,浏览器缓存及设置,1、清理浏览器缓存或恢复浏览器默认配置 2、添加信任站点 3、允许下载相应的Active插件,代理服务器设置,要注意所在局域网是否有使用代理，如果有使用代理，请在【工具】选项卡 【Internet 选项】【局域网设置】，在例外里排除通过VPN要访问的服务器地址（非SSLVPN登录地址）,权限问题,有时，因为开机登录本机PC的windows用户权限不够，导致控件安装失败，所以建议以管

6、理员administrator权限登录PC或运行相关程序。,系统问题,如果客户PC是通过Ghost系统文件装的系统，因为电脑系统是Ghost备份出来的，备份的系统中可能安装有与客户端冲突的驱动或组件，导致客户端组件无法正常安装。 解决办法：建议客户重装系统，采用(光盘或.Iso镜像)进行重装。,设备端故障定位及解决方法,1、基本配置网络，路由，资源，角色，用户 2、 检查访问内网资源的IP和端口是否添加完整,网络问题定位及解决方法,1、端口映射 2、防火墙拦截 3、路由问题 4、服务未启动,端口映射,如果SSL设备单臂部署，检查前端FW端口映射是否80或者443没有做映射，设备默认的443和8

7、0端口是否被做过修改等。 如果SSL设备网关模式部署，则检查从内网是否可以通过SSL设备的LAN口的80和443。 测试方法： 用用户的PC telnet设备的80 和443端口,防火墙拦截,常见于vpn设备与服务器之间存在防火墙，检查防火墙是否拦截设备与服务器之间的应用。 解决方法：1、后天测试：wget 命令2、 尝试将设备的内网IP配置到PC上，用PC去尝试一下看能否访问到,路由问题,1、确保用户与设备之间，设备与内网服务器之间的路由可达。 2、如果访问资源是以虚拟IP作为源地址，注意添加虚拟IP的路由,服务未启动,1、服务器做了限制 2、服务器未开启相应服务 3、服务器相关服务故障解决思路：主要表现为设备访问不到相应服务，主要用一台PC替代设备访问资源，如果出现同样的问题，可以排除设备问题。,案例分析,1. SSL登录页面无法打开,1） 首先判断是所有客户端都打不开登录页面还是某部分PC上打不开登录页面；2） 如果是所有客户端都打不开，则需要检查设备端的设置和网络设置。3） 如果只有部分PC打不开登录页面，则问题出在客户端，需要具体检查PC的情况。如网络不通，本地防火墙杀毒软件的限制，本地IE浏览器设置问题或者是PC上安装的一些浏览器插件的问题所导致,2. SSL可以正常登录，但无法访问内网资源,,