分享远程处理SSLVPN端口映射不成功

【问题现象】

客户反馈新增的端口映射都不生效，只有以前建的192.168.17.211的映射无论哪个端口都生效。

【网络拓扑】

SSLVPN的外网线路主要用于建立IPSECVPN和提供端口映射，防火墙的线路用于正常上网。

【处理过程】

SSLVPN版本7.5R1

查看网络配置

检查端口映射，配置没发现异常。根据客户描述，取17.14和17.211两台服务器来做对比观察。

怀疑三种可能导致：1.外网端口不通（被运营商封堵）2.VPN到服务器不通 3.防火墙本机规则

1.外网端口没有封堵

2.sock测试VPN到服务器端口是通的

3.防火墙规则无拦截

排查配置无果只能抓包观察：

首先测试访问不能映射成功的17.14服务器，根据我的外网IP去过滤数据包，然后进行telnet

可以看到外网口有收到数据包，内网口也有转发，但是没收到回包。

那为什么17.211服务器又能访问成功呢？

继续测试17.211服务器，还是根据源IP去过滤，然后telnet测试

wan：

lan：

这次看到外网口数据包有来有回，但是内网口一个包都过滤不到:惊呆:

数据包哪去了？:求解:

相信大家已经猜到了，我换了过滤规则，根据服务器IP去过滤：

原来源地址被转换成VPN的内网口地址了:啧啧啧:

SSLVPN7.5R1版本控制台界面上的端口映射配置是没有源IP转换的，客户应该是之前找过400改过（客户说他新来的不清楚。。。）

已经找出原因了，我也找400:高兴:

400二线工程师2400响应了我的工单，感谢大佬

最终也验证了我的判断

解决方法：他给客户在后台添加源IP转换，放通防火墙规则等等。

我猜测访问17.13服务器的数据没有回包到VPN是因为三层交换机匹配默认路由把数据包交给防火墙了，大家觉得呢？

建议：好像SSLVPN好多版本端口映射都没有源IP转换配置，希望最好能像AF那样，改进一下。

谢谢分享，ssl vpn做snat时，出接口如果lan口，源ip无法是0.0.0.0，公网的访问端口映射的源ip无法确定，所有无法在界面配置snat

感谢大佬分享

不错，详细

厉害，学习一下

感谢分享

感谢分享，不错

内容学到了，大佬能不能把进后台密码分享下啊:好棒:

sslvpn的底层跟AF防火墙不一样，sslvpn设备还是用的iptables做的，AF防火墙你可以进后台进去看看，已经不是iptables了。曾经碰到过一个项目，也是要做各种地址转换，sslvpn的nat部分还是比较薄弱的

厉害！！！！！！！