【干货满满】SSLVPN用户接入资源之后网段内个别IP无法访问

今天给大家分享一个经典的问题场景，大家可以跟随我的思路一步一步走，我把拓扑简化文字简化，但是一定要动动头脑想想，最后发现路由交换是真的很有意思的。

当前场景为多出口场景，防火墙部署在出口路由器下面同时有多个内网口以及专线，上网通过

客户需求：更改资源访问方式，堡垒机--VPN

原本访问方式是将堡垒机地址映射到公网，通过跳板机去访问，但是这种方式没有VPN安全所以更改访问方式，通过防火墙SSL发布内网资源进行访问。（咱们接下来就先按照需求来做）

打开【网络】-【SSLVPN】选项

1、选择部署模式

2、创建资源

3、创建角色关联资源

4、创建用户关联角色

5、配置虚拟IP池，这个IP池默认为2.0.1.0段的一般不需要更改，只要保证不冲突即可。

6、【网络】-【SSLVPN】-【资源服务选项】选择VPN用户以哪个IP去访问资源，一般为防火墙接口IP即可

7、放通VPN用户的应用控制策略，从标准版本AF8.0.59开始，SSL VPN发布L3VPN资源需要做应用控制策略放通。发布TCP资源默认放通

8、测试资源是否可以正常访问

测试结果发现192.16.20.73该IP地址ping不通

排错步骤

这时候你会应该做什么排查？

1、防火墙测试192.16.20.73是否可以正常通信，可以看到当前是通的

2、难道资源发布有问题？

看着也没啥问题

3、去测试192.16.20.254网关以及同段地址192.16.20.60也都是可以通

4、查看防火墙有没有收到数据包

客户端长ping，防火墙去抓包

回包看着没问题呀，为啥不通捏

5、路由测试！

测试完发现192.16.20.73这个IP有策略路由，直接回包给了某条专线，然后通过调整路由优先级后，可以成功ping通。

多谢分享，有助于工作，期待更多的分享。

牛逼我们公司的大佬牛逼啊学到学到了