1、SSL VPN最最基本排错,WEB资源介绍,WEB资源实现原理:WEB 资源的实现是靠设备进行协议转换,将访问的协议转换成https协议。 使用范围:web资源不需客户端控件支持,可以支持所 有浏览器。web资源目前仅支持支持HTTP、HTTPS、 FTP、MAIL四种资源,WEB资源介绍,Web资源访问流程,客户端连接 https:/192.200.200.235/web/1/http/2/192.200.200.55/src/login.php SSL设备将客户端的请求地址转换为http:/192.200.200.55/src/login.php并将请求发到服务器 服务器回应请求,返回所请
2、求的页面到SSLVPN设备 SSLVPN对页面内容进行分析,把页面上所有的链接以及图片之类的链接都修改成https:/192.200.200.235/web/1/http/2/XXXXX的类型。 SSL设备将修改完的页面返回给客户端。 所以,http类型主要是通过修改URL来实现的:1.修改客户端请求的URL;2.修改服务器返回的页面内容的链接的URL。,SSL设备地址:192.200.200.235 服务器地址:192.200.200.55,2,3,1,TCP资源介绍,TCP资源介绍,TCP服务功能由两部分实现:1.客户端控件proxyIE. 2.服务端proxy。工作原理是建立代理机制,发
3、出去的包都经过了设备的截取并代理,回来的包也一样。App服务,在完成配置ProxyIE后,ProxyIE开始侦听本地端口。App服务应用程序首先连接到ProxyIE,ProxyIE与mod_mvcon模块交互后,该连接将被转移给服务端的proxy处理,建立vpn数据通道,proxy最终与应用程序建立连接。,L3VPN 资源,排错工具与思路,Svpntool工具的使用方法,svpntool工具的作用svpntool工具是专门用于SANGFOR SSLVPN客户端控件的查看、安装、卸载等操作,可以帮助我们对客户端安装的控件进行完全的卸载,或者是重新安装以解决某些时候客户端控件的问题,也可以帮助我们
4、在客户端访问SSL VPN有问题的时候来作为一个判断的手段。,svpntool工具获取方法1、http:/ip/com/win/svpntool.zip (IP字段为SSL设备的IP地址)2. 通过任意一台5.0及以上版本的SSL设备客户端登录页面下载,问题处理思路,一般SSL VPN的问题可以分为三类。1、客户端PC2、设备端配置3、网络的问题。在处理问题时最重要的一点是,必须先判断出问题是出在客户端还是设备端还是网络端,然后对应问题进行解决,而不是毫无目的去查找问题和处理问题。,排错指引,客户端故障定位及解决方法,1、插件是否安装 2、本地防火墙杀毒软件 3、浏览器缓存及设置 4、代理服务
5、器 5、权限问题 6、系统问题,插件是否安装,本地防火墙与杀毒软件,注:在安装控件的过程中可能会因为本地防火墙、360安全卫士、以及浏览器本身的一些安全防护作用,会弹出如上的提示框,点击允许即可。,浏览器缓存及设置,1、清理浏览器缓存或恢复浏览器默认配置 2、添加信任站点 3、允许下载相应的Active插件,代理服务器设置,要注意所在局域网是否有使用代理,如果有使用代理,请在【工具】选项卡 【Internet 选项】【局域网设置】,在例外里排除通过VPN要访问的服务器地址(非SSLVPN登录地址),权限问题,有时,因为开机登录本机PC的windows用户权限不够,导致控件安装失败,所以建议以管
6、理员administrator权限登录PC或运行相关程序。,系统问题,如果客户PC是通过Ghost系统文件装的系统,因为电脑系统是Ghost备份出来的,备份的系统中可能安装有与客户端冲突的驱动或组件,导致客户端组件无法正常安装。 解决办法:建议客户重装系统,采用(光盘或.Iso镜像)进行重装。,设备端故障定位及解决方法,1、基本配置网络,路由,资源,角色,用户 2、 检查访问内网资源的IP和端口是否添加完整,网络问题定位及解决方法,1、端口映射 2、防火墙拦截 3、路由问题 4、服务未启动,端口映射,如果SSL设备单臂部署,检查前端FW端口映射是否80或者443没有做映射,设备默认的443和8
7、0端口是否被做过修改等。 如果SSL设备网关模式部署,则检查从内网是否可以通过SSL设备的LAN口的80和443。 测试方法: 用用户的PC telnet设备的80 和443端口,防火墙拦截,常见于vpn设备与服务器之间存在防火墙,检查防火墙是否拦截设备与服务器之间的应用。 解决方法:1、后天测试:wget 命令2、 尝试将设备的内网IP配置到PC上,用PC去尝试一下看能否访问到,路由问题,1、确保用户与设备之间,设备与内网服务器之间的路由可达。 2、如果访问资源是以虚拟IP作为源地址,注意添加虚拟IP的路由,服务未启动,1、服务器做了限制 2、服务器未开启相应服务 3、服务器相关服务故障解决思路:主要表现为设备访问不到相应服务,主要用一台PC替代设备访问资源,如果出现同样的问题,可以排除设备问题。,案例分析,1. SSL登录页面无法打开,1) 首先判断是所有客户端都打不开登录页面还是某部分PC上打不开登录页面;2) 如果是所有客户端都打不开,则需要检查设备端的设置和网络设置。3) 如果只有部分PC打不开登录页面,则问题出在客户端,需要具体检查PC的情况。如网络不通,本地防火墙杀毒软件的限制,本地IE浏览器设置问题或者是PC上安装的一些浏览器插件的问题所导致,2. SSL可以正常登录,但无法访问内网资源,,
