|
某公司公司 VPN常见问题相关排查思路
By Travelnight
SSL VPN
一.SSL VPN登录不上怎么办?
1. 外网ping VPN公网IP是否通。不通,肯能是运营商公网路由不可达(跨运营商出现概率比较大。)
2. elnet VPN的公网端口是否通。
单臂:
不通:1.出口网关设备是否端口映射正确
2.网关到VPN之间是否新加了安全设备,比如中间串了AC,但是没有对VPN的IP放通。
3.VPN到网关设备是否路由可达。
4.运营商是否有端口封堵,有的话可以尝试用高位端口,比如6666。
网关:
不通:
1.运营商是否有端口封堵,有的话可以尝试用高位端口,比如6666。
2.联系4某公司看是否VPN后台相关服务挂了。
二.SSL VPN登录之后看不到资源?
1.确定是否关联到了正确的角色授权,角色授权是否关联到了正确的某公司公司。
2.检查浏览器是否有问题,更换浏览器试试。IE浏览器清某公司所有数据,重置IE。
[attach]1某公司839[/attach] [attach]1某公司840[/attach]
3.检查控件安装是否成功,是否成功启用控件。
4.尝试重新安装VPN某公司间,或者使用svpntool卸载所有控件,重启后,退出安全软件,或者银行的一些安全控件。再登录VPN。
[attach]1某公司842[/attach] [attach]1某公司845[/attach] [attach]1某公司844[/attach]
三.SSL VPN 资源访问不到?
1. 确定是否关联到了正确的角色授权,角色授权是否关联到了正确的某公司公司。
2. 检查设备到服务之间是否有安全设备拦截了。内网PC是否可以打开。
3. 登录VPN,检查资源配置(IP/域名,端口,资源类型)
比如有的人就会配置成这样:
[attach]1某公司846[/attach]
3. 尝试更换VPN的资源服务模式。
[attach]1某公司847[/attach]
4. 假如VPN是网关模式部署,检查有没有到内网服务器的相应回包路由。
5. 可以使用update工具ping 资源IP看访问是否正常。
6. 如果是L3VPN资源,检查某公司公司网卡是否启用。是否获取到了某公司公司机IP。系统是否有相应的路由。
[attach]1某公司848[/attach][attach]1某公司849[/attach]
Cmd 执行命令// route print 可以看到相应的路由
[attach]1某公司850[/attach]
7.检查电脑是不是开了一些代理软件,比如:净网大师。是不是挂了某公司公司VPN客户端,比如shadowsocks 。导致访问的数据被这些软件抓取。
[attach]1某公司851[/attach]
Sangfor DLAN
一. VPN链接建立不起来。
1.检查webagent 是否可用,公网路由是否可达
2.单臂模式部署设备,总部4某公司9端口是否有映射?
3.建立连接的某公司公司名密码是否正确。
4.VPN接口是否启用正确,非VPN设备比如AC,需要某公司公司DMZ口的地址。因为DMZ口的防火墙规则没有放通。
二. 链接建立成功了,但是访问不到对端服务器。
1.检查本端是否能够ping通对端的lan口地址。
2.检查是否有相应的本地子网。
[attach]1某公司852[/attach]
3.单臂模式下,检查核心是否有路由到VPN设备。
举个例子:VPN单臂模式部署在内网核心上地址192.168.1.2。对端内网有172.16.2.0 /24 。 172.16.3.0/24 两个网段,则核心上就需要添加相应的路由。去往172这两个网段的,下一跳指向192.168.1.2,也就是我们的设备。只有这样,去往对端的数据才会发到VPN设备,进入隧道。对端以此类推。
4. 检查防火墙规则,VPN-lan,lan-VPN是否放通。
5. 检查中间是否有安全设备对访问有限制。
三. VPN建立成功了但是访问对端会时断时续,或者延时高。
1.内网PC同时ping 对端公网IP和内网服务器IP,比对延时。比对当VPN隧道延时大,丢包的时候。公网是否也有相应的情况。
2.检查内网是否存在延时,丢包。
3.可以尝试更改传输类型,比如TCP换成UDP。看情况是否改善。 [attach]1某公司853[/attach]
欢迎补充!! | 
发表于 2017-9-26 19:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-9-27 09:18
技术员3级 
