关于远程登录AC问题

区域有几台AC，版本12.0.5。为了方便管理，准备开启远程维护功能，但5台设备，只有一台成功。其他都无法访问，WAN口地址可以在外网ping通，但页面访问打不开。有点怀疑是IP的问题，请各位大神指点。

几台设备的外网IP段分别是：123.7/24；222.89/24；58.48/24；10.20/24；59.52/24

成功的IP段是：218.28/129

针对您提到的深信服上网行为管理AC设备远程维护功能开启后，部分设备无法访问的问题，以下是一些可能的排查步骤和建议：

一、检查外网IP和路由设置
确认IP地址配置：
检查无法访问的设备的外网IP地址是否正确配置在WAN口上。
确保这些IP地址没有与局域网内的其他设备冲突。
检查路由设置：
登录到深信服AC设备的Web管理界面，检查路由设置是否正确，确保外网流量能够正确路由到AC设备。
二、检查远程访问设置
远程桌面设置：
确认深信服AC设备上已经开启了远程桌面功能，并且远程桌面端口（通常是3389）没有被防火墙或其他安全策略阻止。
端口转发：
如果AC设备部署在NAT网络之后，需要在路由器或防火墙上设置端口转发，将外部访问请求转发到AC设备的远程桌面端口。
三、检查防火墙和安全策略
深信服AC防火墙：
检查深信服AC设备的防火墙设置，确保没有阻止来自外网的访问请求。
外部防火墙：
如果存在外部防火墙（如ISP提供的防火墙或企业内部的防火墙），需要检查是否允许对AC设备远程桌面端口的访问。
四、排查网络问题
ping测试：
虽然您已经提到WAN口地址可以在外网ping通，但建议再次进行ping测试，确认网络连通性。
traceroute测试：
使用traceroute命令（在Windows中是tracert）从外网跟踪到AC设备的路由路径，检查是否存在网络瓶颈或丢包问题。
访问日志：
检查深信服AC设备的访问日志，查看是否有来自外网的访问请求被拒绝的记录。
五、特定IP段问题排查
IP段分析：
注意到您提到的成功访问的IP段是218.28/129，这是一个较为特殊的IP段划分（通常子网掩码不是/24）。而其他无法访问的IP段都是标准的/24子网。虽然这不太可能是导致问题的直接原因，但建议检查是否有与IP段划分相关的网络配置错误。
IP/MAC绑定：
检查深信服AC设备上是否有误配置导致IP/MAC绑定错误，这可能会影响远程访问。特别是在AC设备上有用户认证策略时，需要确保IP/MAC绑定正确无误。
访问控制策略：
检查深信服AC设备的访问控制策略，确保没有错误地限制或阻止了来自特定IP段的访问请求。
六、其他建议
浏览器兼容性：
确保用于远程访问的浏览器与深信服AC设备的Web管理界面兼容。某些旧版本的浏览器可能无法正确显示或访问管理界面。
软件版本更新：
考虑将深信服AC设备的软件版本更新到最新版本，以获取最新的功能和安全修复。但请注意在更新前备份配置和数据。
联系技术支持：
如果以上步骤都无法解决问题，建议联系深信服的技术支持团队寻求帮助。他们可以提供更专业的故障排查和解决方案。
综上所述，您可以从以上几个方面进行排查和解决深信服AC设备远程维护功能无法访问的问题。希望这些建议对您有所帮助！

检查外网IP和路由设置
确认IP地址配置：
检查无法访问的设备的外网IP地址是否正确配置在WAN口上。
确保这些IP地址没有与局域网内的其他设备冲突。
检查路由设置：
登录到深信服AC设备的Web管理界面，检查路由设置是否正确，确保外网流量能够正确路由到AC设备。

排查网络问题
ping测试：
虽然您已经提到WAN口地址可以在外网ping通，但建议再次进行ping测试，确认网络连通性。
traceroute测试：
使用traceroute命令（在Windows中是tracert）从外网跟踪到AC设备的路由路径，检查是否存在网络瓶颈或丢包问题。

IP段分析：
注意到您提到的成功访问的IP段是218.28/129，这是一个较为特殊的IP段划分（通常子网掩码不是/24）。而其他无法访问的IP段都是标准的/24子网。虽然这不太可能是导致问题的直接原因，但建议检查是否有与IP段划分相关的网络配置错误。
IP/MAC绑定：
检查深信服AC设备上是否有误配置导致IP/MAC绑定错误，这可能会影响远程访问。特别是在AC设备上有用户认证策略时，需要确保IP/MAC绑定正确无误。
访问控制策略：
检查深信服AC设备的访问控制策略，确保没有错误地限制或阻止了来自特定IP段的访问请求。

浏览器兼容性：
确保用于远程访问的浏览器与深信服AC设备的Web管理界面兼容。某些旧版本的浏览器可能无法正确显示或访问管理界面。
软件版本更新：
考虑将深信服AC设备的软件版本更新到最新版本，以获取最新的功能和安全修复。但请注意在更新前备份配置和数据。

1、设备以路由模式部署在出口：需要在【系统配置】-【高级配置】-【远程维护】勾选启用远程维护，再通过https://ACIP登录设备；
AC/SG从标准版本12.0.12开始支持通过WAN口对外开放端口可以设置仅放通某些端口，在【系统配置】-【网络配置】-【高级设置】-【wan口开放接口】界面进行配置；注意：此处不能禁用登录端口
在【系统配置】-【网络配置】-【高级设置】-【wan口开放接口】界面进行配置
2、网桥模式和其他模式：就需要在出口设备上面做端口映射，将设备的IP地址和登录控制台端口映射到公网，同时也需要启用远程维护
3、检查设备登录端口是不是默认的443端口，不是的话更改端口登录控制台
4、在外网ping设备的公网地址看是否可以通，如果IP测试是通的，再通过telnet IP端口号测试下端口是否可以通，如果端口可以通，建议PC直连外网口进行登录设备，确认是否为公网拦截
5、外网通过443登录不了的话，建议在【系统管理】-【系统配置】-【高级配置】-【webUI选项】将webui端口改为其他端口，比如4430看看，看看是否是运营商有进行封堵

traceroute从外网跟踪到AC设备的路由路径，检查一下哪里丢的包

一般情况能够ping通应该没什么问题，看看AC的远程访问地址是不是映射出去的

运营商报备了么，报备443端口才能用，不然就会出现这种情况