提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

二、基础排查:检查基本配置跟终端环境是否正常

|

问题描述

SSL VPN客户端问题(客户端安装不成功、虚拟网卡安装不上、获取不到虚拟IP等)

告警信息

1、客户端操作系统版本不在兼容性列表内导致:检查客户端系统是否在当前版本设备支持范围内,如果不在则不支持此终端登录SSL VPN正常访问,需要打包或者升级支持才行;
2、客户端环境异常导致:检查终端环境,使用客户端修复工具修复测试
详细操作方法可以参考下列有效排查步骤说明

有效排查步骤

1、检查客户端系统是否在当前版本设备支持范围内,如果不在则不支持此终端登录SSL VPN正常访问,需要打包或者升级支持才行。
根据客户端兼容性列表,确认当前操作系统是否是当前设备支持的,详情见帖子内容
注:标准版本AF8.0.17及之前版本,AF的SSL VPN的版本是6.8版本。
标准版本8.0.23及之后版本,AF的SSL VPN的版本是7.6.7R1版本。

2、使用客户端的修复工具,使用环境检测工具修复,如果有异常,可以点击一键修复后再进行登录
注意:客户端修复工具需要下载最新的版本后续会合入遇到的已知问题,客户端修复工具下载地址:https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=download_now&type=soft&downloadid=5953&code=bebe4aa85ff49b10623c04121deafe82

3、检查终端环境是否正常。
   (1)查看客户端是否开启了防火墙,关闭windows防火墙登录测试。
   (2)win7及以上系统关闭UAC(控制面板-系统和安全-更改用户账户控制)。
   (3)查看客户端是否安装了杀毒软件,比如腾讯管家,360杀毒等软件,可以尝试卸载后再登录测试。

4、查看设备是否加入域,加入域后可能会导致没有管理员权限导致无法拉起EC客户端,需要使用域控管理员的方式先安装。

5、如果是单个客户端无法加入,在登录的时候报TLS协议不支持,可以尝试在IE浏览器,高级选项中对SSL,TLS协议进行排列组合再进行测试登录。

6、具体的现象为客户端一直卡在初始化,或者是“获取服务端配置失败,访问vsp(SSL)的地址请对应使用VSP(ssl)的客户端的地址,或者网络连接失败”




a、可以直接在客户端的CMD执行telnet ip SSl端口看下通信是否异常,如图是异常的端口不通的情况



b、 也可以通过客户端和服务端抓包,在登录的过程中查看协议的交互 是否正常,如图是一组正常的数据流,如果中间有异常的话是会有包拦截,可以通过服务器端和客户端的抓包对比即可


c、特别注意的是SSL VPN的登录是不支持nginx等代理,在出现登录异常的时候可以和客户确认出口设备是不是有代理或者中间有代理软件,抓包也可以对比看下,例如:这个客户端是通过公网来访问的但是查看源地址是内网地址,导致客户端主动RST了连接。PS:地址转换是不影响接入。

解决方案

若以上步骤未解决您的问题,可收集以下信息将问题流转L2:
1、问题需求描述:
2、详细环境拓扑:
3、设备配置核对情况:
4、端口连通性情况:

操作影响范围

我要分享
文档编号: 228023
作者: admin
更新时间: 2023-01-07 20:14
适用版本: