2022争霸赛*干货满满SSL部分用户TF卡认证异常排查

  问题反馈：用户接入SSLVPN之后无法访问资源，切换热点的时候可以正常使用，有时候切换回来再切回去也可以恢复正常，时间不定时。用户访问方式是通过附近的无线网络或者手机发出的热点，通过IPAD终端上的TF卡认证。

之前没有接触过HG客户的SSL，有听说过打了很多定制。听到这个现象第一感觉是怀疑是运营商线路的问题，而且是近期才有反馈，之前一直正常。因为跟上线的ATRUST是同一网段，客户怀疑是ATRUST导致。

第一次接触给出的收集信息建议：

1.    统计下有多少用户异常，故障的是不是连着同一个无线网。

2.    ATRUST映射的端口跟SSL是不一样的，为了避免干扰，也断开Atrust分析。

3.    客户接入的方式为虚拟IP的形式，在出口设备上做回城路由打通网络，客户怀疑会不会用户端没获取到IP或者网络这块有问题----除非是获取不到虚拟IP，不然是解释不通的。

4.    建议客户获取一台终端过来试试。

观察了几天后有以下进展

1：客户的新怀疑：用户获取虚拟IP是正常的，出口防火墙上有出现虚拟IP的路由下一条

到VPN集群IP地址偶尔会出现网络中断的情况，怀疑有可能是网络的问题导致部分虚拟IP不通----看了日志，频率不高，且只是几秒，不是主要原因，而且网络恢复之后VPN也会恢复，建议客户协调一个机子过来试试。

客户协调到机子，现场研究

一开链接的是客户的热点，访问VPN的时候会卡在一个界面，看了下VPN后台日志，可以看到登录日志。

尝试更换我自己的热点，可以正常接入，就是接入的速度有点慢，正常不应该这么久

怀疑问题应该是出在认证方面，客户向总署那边咨询认证的大概流程

1、获取HG-H4A信息失败问题。排查HG互联网-HGVPN-HG中间件服务-总署中间件服务（域名：xxxa.cn）访问链路。

2、口令认证系统连接超时。排查HG互联网-总署口令认证系统（域名：xxxb.cn）

3、初始化中间件列表失败。排查HG互联网->总署中间件配置管理服务（域名：xxxc.cn）

根据客户给的信息，可以推算出VPN用户接入到SSL VPN之后还需要再过一程认证，通过互联网的形式。访问域名出的问题，只可能是DNS。在SSL配置上看到有一台强制下发DNS的记录，客户去了解这个地址是之前测试什么业务系统配置的，可以取消。取消之后我和客户的热点都访问正常。大概率问题是能得到解决，等客户这边看还有没有反馈。

另外出口防火墙出现路由丢包的问题，启明星辰的人也在现场优化了检测机制。

案例难点：

多层认证，如果早知道需要跟互联网通讯，排查难度会下降。

无测试环境，环境也无法远程。需要现场用客户的电脑才能操作。

DNS解析知识点：

1：本地PC-host  2：强制下发的DNS  3：SSL VPN设备的HOST表4：本地网卡的DNS

感谢楼主分享，文章记录了一次ssl认证异常的排障思路分享，期待楼主带来更多有价值的案例分享哦

感谢分享知识，有助于学习

有助于学习，感谢分享知识

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享知识，有助于学习