#原创分享#记第一次SSL VPN实施与常见问题总结

       大家好，楼主于2017年7月份进入社会，在工作中大哥告诉我进入这一行首先要学会最基本的路由交换，因此最初3个月我都是在跟大哥学习路由交换的基础知识，10月份才刚刚开始碰某公司的产品，最早碰的产品是AC，第二个产品是下一代防火墙，第三个产品是SSL VPN，现将第一次的SSL VPN分享，希望能对大家有帮助，也希望各位大佬多多指出问题所在。

一、情景在线

       客户新购买了一台某公司的SSL VPN，保障客户端具备相应安全环境要求方可接入内网，防止安全隐患。

二、配置思路

2.1、网络配置

2.2、本地子网配置

注：

①当用户关联了L3vpn全网资源，用户接入需要通过L3VPN全网资源访问跟设备lan口不同段地址的时候，需要添加将跟设备lan口地址不同段的网段添加到本地子网。

②当SSL与其他设备做sangfor vpn对接时，若对端需要访问本端SSL设备LAN口不同网段的网络，则需要把本端与LAN口不同网段的子网加到本地子网。

2.3、端口映射

注：SSL VPN有俩种部署模式，若是单臂模式需要做端口映射，不是跳过这步。

2.4、用户建立

2.5、资源管理

2.6、角色授权

注：

①用户的作用是做用户认证，确认可以登录设备帐号；
②资源是确认可以外网访问的服务器或者是应用；
③角色是把用户和资源绑定，确认用户接入之后访问资源的情况；

④SSL相同的资源可以关联给不同的用户；一个用户/用户组支持同时关联多个角色授权。

2.7、测试

三、svpntool工具

3.1、说明

svpntool工具是专门用于某公司 SSL VPN客户端控件的查看、安装、卸载等操作，可以帮助我们对客户端安装的控件进行完全的卸载，或者是重新安装以解决某些时候客户端控件的问题，也可以帮助我们在客户端访问SSL VPN有问题的时候来作为一个判断的手段。

3.2、功能

svpntool工具上分两个功能按钮，分别是快速修复和专家调试。通过“快速修复”将清理电脑上的所有SSL 控件；通过“专家调试”可查看已安装的SSL VPN控件、查看和修复系统LSP、启用debugview。

3.3、svpntool工具下载使用

①通过任意一台SSL设备客户端登录页面下载：https://10.10.10.86:4430（10.10.10.86为SSL设备的IP地址）

②快速修复功能用于客户端电脑无法登录SSL VPN时，卸载电脑上的SSL 控件。 通过快速修复功能，客户端电脑卸载和重新安装控件，排除控件问题导致的登陆失败。

③通过专家调试功能查看已安装的SSL控件，对已安装的控件选择性的卸载，安装；查看和修复系统LSP；启用Debugview功能定位故障原因。

四、后期维护

4.1、 SSL登录页面无法打开

排查思路：

①判断是所有客户端都打不开登录页面还是部分终端打不开登录页面；

②若是部分终端打不开登录页面，则问题出在客户端，需要具体检查PC的情况。例如网络是否正常通信，本地防火墙、杀毒软件是否有限制，本地IE浏览器设置是否有问题或者浏览器插件有问题，建议关闭终端上的防火墙或者杀毒软件，清空IE浏览器缓存、恢复IE默认配置、检查IE是否做了代理设置，使用svpntool工具卸载和重装SSL控件。

③若是所有客户端都打不开，则需要检查设备端的设置。如果SSL设备单臂部署，检查前端设备（如某公司的下一代防火墙）端口映射是否80或者443没有做映射，设备默认的443和80端口是否被做过修改，内网测试是否正常等。如果SSL设备网关模式部署，则检查从内网是否可以通过SSL设备的LAN口的80和443端口登录；电脑直连SSL设备的WAN口，是否可以打开登录页面，初步分析是网络原因还是由于设备无法提供服务引起的。

4.2、SSL可以正常登录，但无法访问内网资源

排查思路：

①SSL设备本身能否访问到内网资源；

②检查访问内网资源的IP和端口是否添加完整，可以尝试添加全IP和全端口试下；

③如果使用了L3VPN资源且启用了路由模式，要注意检查服务器上是否有到虚拟IP池网段的回包路由，可尝试把资源访问模式换成“使用设备的IP地址作为源地址”再访问；

④如果使用了L3VPN资源，检查客户端虚拟网卡是否正常启用、是否获取到虚拟IP地址；

⑤使用svpntool工具卸载和重装控件，需将PC上的杀毒、防火墙全部关闭。

4.3、客户端控件问题

排查思路：

①检查IE浏览器管理的加载项，是否某公司 SSL有关的控件被禁用，确保启用这些控件；

②防火墙拦截了客户端检测更新的组件导致检测更新失败；在【控制面板】-【所有控制面板项】-【Windows 防火墙】-【打开或关闭windows防火墙】，将防火墙关闭；

③用svpntool工具删除所有已安装的SSL插件。

五、总结

       某公司的SSL VPN作为一款特别成熟的产品，通过不同的用户认证，保障数据的安全、终端安全，采用HTP快速传输协议、TCP单边加速等促进SSL VPN的快速使用。配置简单，易上手，建议大家可以推荐给客户使用。

您好，感谢您参与社区原创分享计划4，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

点赞，受教了

来咯，学习一波

不错不错 赞一个

学习了，感谢分享！

学习打卡

学习了，感谢分享！

哇，这篇文章太感人了，谢谢楼主分享。

对于新手，值得好好看看