提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

SSL外网用户无法通过webagent地址连接SSLVPN的可能原因和排查思路概述

|

问题描述

SSL外网用户无法通过webagent地址连接SSLVPN

解决方案

通过webagent地址访问不了VPN请按如下步骤排查:
1、检查adsl拨号获取到的实际上是否是个二级运营商地址,比如100.64.47.108保留地址,如果是的,则需要找运营商开通企业ADSL帐号,拨号成公有IP地址

2、检查webagent地址格式申请正确,中间必须是ssl的
SSL模块需要用到的webagent地址格式:webagent.sangfor.net/ssl/leijiatest.php
ipsec模块的webagent地址格式:webagent.sangfor.net.cn/webagent/vpn/csbpdlan1.php

3、判断设备是单臂还是网关模式部署,单臂模式需要做VPN的端口映射,需要将【系统设置】-【系统选项】-【接入选项】配置的https端口映射出去,比如https端口为443,则需要出口将443映射给VPN的443,而不是4431映射给443;单臂部署需要保证出口到VPN之间的网络是放通的

4、检查webagent配置正确,并且显示状态正常,如果离线则说明SSL设备更新webagent失败

5、如果webagent显示离线则确认SSL设备dns地址配置是否正确,通过wget命令测试SSL设备能否访问webagent.sangfor.net或者webagent.sangfor.net.cn,或者在设备webconsole上执行ping命令测试该域名能否正常解析和ping通

6、使用httpwatch或者浏览器的网页开发者工具查看跳转过程,判断是webagent更新失败,还是跳转之后无法访问导致,如下图则说明webagent更新失败,webagent服务器没有记录到更新的地址





7、如果是跳转之后无法访问确认网络环境,是否端口映射没有映射好或者通过抓取客户端访问SSL的数据包 判断是否是运营商拦截数据包

我要分享
文档编号: 232081
作者: admin
更新时间: 2023-01-05 17:29
适用版本: