#原创分享#VPN无法访问资源故障排查

上架AF设备，基本的配置项都已完成。但是在配置SSL VPN的时候遇到了问题。SSL VPN能登陆，但是不能访问资源。

一、部署模式：网关模式

二、拓扑结构：AF—AC—核心交换机

三、排查故障：

1、确认资源、用户、角色等创建的是否正确。

2、确认虚拟IP地址及登录信息是否正常。

3、通过分析工具进行抓包。

AF上都已确认没有问题，但是就是访问不了。决定联系400进行远程调试。售后技术处理了两个半天，最后分析并抓包、开直通等测试，认定设备正常，可能存在其他限制，于是登录AC进行直通测试，发现AC限制了VPN流量。

四、AC排查：

1、检查日志中心，发现并没有vpn数据接入。

2、对发布资源的单个服务器进行查看日志，发现并没有拒绝，可能是审计方向没有从AF—AC的。

3、开直通测试，将AF地址作为直通开启地址，开通后访问正常。找到故障原因，AC限制了访问。

4、解决问题，要找到哪条策略限制了VPN数据。

因为AC审计方向是AC—AF—出口方向，而AF进来的数据不好查，于是想到了AC的故障监控中心。

使用权限策略故障排查功能，检测的IP地址填写发布资源的服务器地址，开直通进行VPN访问测试，发现检测到应用和连接数据，通过数据分析找到被拒绝的应用名称及策略名称。

取消远程桌面和IP站点的限制。访问了远程桌面和网站，分别找到两个应用被匹配结果是拒绝的策略，在策略中进行调整。

5、关闭直通验证

发现终端可以正常访问VPN，查看权限策略故障排查中匹配结果为未匹配，可以正常使用。

感谢楼主分享，楼主的帖子中排查思路比较清晰，正常情况下无法访问资源一般都是网络问题，在遇到此类情况时可以按照网络问题排查思路分析即可，按照数据流进行分析最终定位具体的拦截设备，进而解决问题。楼主的帖子中分析到AC拦截是一种情况，还有另外一种情况是以虚拟IP地址访问时，内网没有给虚拟IP地址的回包路由导致数据包能发到内网，但是内网无法返回给AF，遇到此类情况可以修改SSL vpn为以接口IP地址去访问资源或者在内网网络设备中添加去往虚拟AF设备虚拟IP的路由来解决。期待楼主有更加精彩的分享~

打卡学习