×

SSL VPN故障处理

hqy hqy 发表于2022-07-03 01:33:32 浏览2698 评论0

抢沙发发表评论

https://support.huawei.com/enterprise/zh/doc/EDOC1100197941/#ZH-CN_TOPIC_0000001083991004


SSL VPN故障处理

概述

本文档介绍了SSL VPN故障和咨询问题的最常见解决方案,包括SecoClient拨号故障、浏览器拨号故障和常见咨询类问题,供您在开始排除故障并致电华为技术支持之前尝试。

使用须知

  • 使用前建议您了解华为防火墙SSL VPN的基本配置。

  • 本文档以华为USG6000系列防火墙产品V5版本为例。不同产品和版本的实现可能会有差异。

  • 本文档中FW是防火墙的缩写。

  • 本文档中使用到的公网IP地址均为示意,不指代任何实际意义。

SSL VPN支持列表

SSL VPN支持接入方式

接入方式

说明

浏览器

用户通过浏览器访问SSL VPN网关(即虚拟网关),在虚拟网关页面上就可以看到企业的资源链接,点击资源链接就可以访问相应资源。SSL VPN包括Web代理、端口转发、文件共享和网络扩展这4类业务,这4类业务浏览器都支持。

SecoClient

SecoClient是华为公司推出的一款用于VPN远程接入的终端软件,主要为移动办公用户远程访问企业内网资源提供安全、便捷的接入服务。SSL VPN包括Web代理、端口转发、文件共享和网络扩展这4类业务,SecoClient客户端仅支持网络扩展业务。

虚拟网关规格

对于USG6000E的规格,请登录网站,使用规格查询工具进行查询。其他型号如下所示:

设备型号

最大虚拟网关个数

USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL

4

USG6310/6320/6510-SJJ

USG6306/6308/6330/6350/6360/6507/6530

64

USG6370/6380/6390/6550/6570

USG6390E/6620/6620-AVE/6630

USG6650/6660/6670

256

NGFW Module

256

USG6680

1024

USG9500

4096

SSL VPN用户规格

所有型号的设备都缺省提供了100个最大并发用户数,如果用户想增加最大并发用户数,可以购买License。购买License以后总的最大并发用户数(缺省的100个用户也算在内),不能超过下表中各设备对应的最大并发用户数规格。例如,USG6320支持的最大并发用户数是200个,实际购买License中的最大并发用户数不要超过100个。因为超过100以后,算上缺省的100个,总数就超过了设备规格。

对于USG6000E的规格,请登录网站,使用规格查询工具进行查询。其他型号如下所示:

设备型号

最大用户数

最大并发用户数

USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL

200

100

USG6310/6320/6510-SJJ

400

200

USG6306/6308/6330/6350/6360/6507/6530

1000

500

USG6370/6380/6390/6550/6570

2000

1000

USG6390E/6620/6620-AVE/6630

4000

2000

USG6650/6660/6670/6680

10000

5000

NGFW Module

10000

5000

USG9500

200000

100000

SSL VPN支持的操作系统和浏览器

SSL VPN业务

支持的操作系统

支持的浏览器及版本

Web代理

Web改写

USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WLUSG6110E/6307E/6311E/6311E-POE/6510E/6510E-POE/6510E-DK不支持该功能。

视浏览器支持的操作系统而定。

  • Internet Explorer 6/7/8/9/10/11(32/64位)

  • Firefox 4.0~30.0(32位)

  • Chrome 10~20

  • Opera 9.0~12.0

  • Safari 3.0~5.1.x

Web Link

  • Windows Server 2003(32位)

  • Windows XP SP1及其以上(32/64位)

  • Windows Vista(32位/64位)

  • Windows 7(32位/64位)

  • Windows Server 2008(32位/64位)

  • Windows 8(32位/64位)

  • Windows 8.1(32位/64位)

  • Windows 10(32位/64位)

Internet Explorer 6/7/8/9/10/11(32/64位)

文件共享

视浏览器支持的操作系统而定。

  • Internet Explorer 6/7/8/9/10/11(32/64位)

  • Firefox 4.0~30.0(32位)

  • Chrome 10~20

  • Opera 9.0~12.0

  • Safari 3.0~5.1.x

端口转发

  • Windows Server 2003(32位)

  • Windows XP SP1及其以上(32/64位)

  • Windows Vista(32位/64位)

  • Windows 7(32位/64位)

  • Windows Server 2008(32位/64位)

  • Windows 8(32位/64位)

  • Windows 8.1(32位/64位)

  • Windows 10(32位/64位)

Internet Explorer 6/7/8/9/10/11(32/64位)

网络扩展

浏览器接入

  • Windows Server 2003(32位)

  • Windows XP SP1及其以上(32/64位)

  • Windows Vista(32位/64位)

  • Windows 7(32位/64位)

  • Windows Server 2008(32位/64位)

  • Windows 8(32位/64位)

  • Windows 8.1(32位/64位)

  • Windows 10(32位/64位)

  • Internet Explorer 6/7/8/9/10/11(32/64位)

  • Firefox 38~49(32位)

  • Firefox 52及以上(32/64位)

  • Chrome 35及以上

说明:

为了满足用户通过Firefox、Chrome浏览器访问网络扩展业务的需要,网络管理员需要在FW的Web界面“系统 > VPN客户端升级”中上传SecoClient软件。同时,在FW的虚拟网关中只允许配置网络扩展业务,且不允许配置证书认证方式。

满足以上条件的情况下,用户通过浏览器访问虚拟网关登录页面时,页面上将会提示用户下载并安装SecoClient软件。从V500R005C20和V600R007C00版本开始,设备支持通过Chrome(42及以上)或Firefox(52及以上)访问虚拟网关登录页面,此时用户需要根据浏览器提示安装对应的扩展插件,并安装7.0.2及以上版本的SecoClient软件。SecoClient软件安装完成后,用户刷新登录页面就可以访问网络扩展业务。如果用户当前的操作系统不支持安装SecoClient软件,则用户将无法通过Firefox、Chrome浏览器访问网络扩展业务。

SecoClient接入

SecoClient客户端支持的操作系统规格由使用的客户端版本决定,如需查询具体规格请使用注册帐号登录网站http://support.huawei.com/enterprise,下载最新版本的客户端产品文档。

-

文件共享协议规格

  • SMB(CIFS)协议仅支持32位操作系统。

  • NFS协议支持Unix的UID和GID验证。

  • NFS v3支持基于UDP的NFS文件共享。

  • SMB(CIFS)协议支持签名特性,即SMB类型的文件共享资源需要输入用户名和密码成功登录后才可以访问。

其他规格

  • FW支持的SSL协议版本:TLS 1.0、TLS 1.1、TLS 1.2。

  • 一个虚拟网关可以创建63个自定义角色和一个默认角色。

  • 一个自定义角色最多关联256个用户和用户组,默认角色无限制。

  • 一个自定义角色关联的最大资源数为1024,默认角色可以关联的最大资源数与虚拟网关最大允许资源数相同。

  • 一个角色最多关联128条主机检查策略。

SecoClient拨号SSL VPN故障

打开SecoClient时出现警告

警告:已经有客户端正在运行,不能再运行该程序!

现象描述

打开SecoClient时,系统告警“已经有客户端正在运行,不能再运行该程序!”。

  • 单击“局域网设置”,并设置代理服务器。此处假设代理服务器地址为www.example.com,端口为8080。然后,单击“确定”。

  • 警告:网络扩展启动失败!

    现象描述

    在SecoClient登录界面,输入用户名和密码以后,单击“登录”,系统告警“网络扩展启动失败!”

  • 检查用户证书,是否有对应的私钥。

  • 登录成功后,无法访问公网

    现象描述

    SSL VPN拨号成功,但是无法访问公网站点,域名也Ping不通。

    可能原因

    虚拟网关网络扩展配置了分离路由模式或全路由模式。

    Web配置网络扩展时,如果可访问内网网段列表中没有任何网段,网络扩展路由模式则为分离路由模式(network-extension mode split);如果列表中存在一个或多个网段,网络扩展路由模式为手工路由模式(network-extension mode manual)。 在CLI控制台下执行network-extension mode full,可设置网络扩展路由模式为全路由模式,这个模式通过Web无法配置。

    当网络扩展路由模式为分离路由模式或全路由模式时,用户拨号SSL VPN之后无法访问公网。

    虚拟网关登录页面无法选择到用户证书

    现象描述

    在虚拟网关采用证书认证的情况下,用户在 SSL VPN虚拟网关登录页面,无法找到预期的用户证书。

    可能原因
    1. 用户PC操作系统的DHCP Client服务未启用。

    2. 用户PC操作系统的Interactive Services Detection服务未启用。

    处理步骤
    1. 打开DHCP Client服务的方法如下:

      1. 在“开始 > 运行”中,输入services.msc命令,单击“确定”,进入服务窗口。

      2. 在服务列表中找到DHCP Client服务,右键单击“DHCP Client”,选择“启用”。

    2. 启用Interactive Services Detection服务的方法如下:

      1. 单击“开始”,在运行框中输入services.msc,按回车键。

      2. 找到Interactive Services Detection服务,然后双击。

      3. 启动类型选择“启动”,单击“确定”。

      4. 执行netsh winsock reset,重置winsock。

      5. 重启电脑生效。

    浏览器启用网络扩展后访问内网资源卡顿,Ping内网延迟大

    现象描述

    浏览器登录SSL VPN虚拟网关并启用网络扩展成功,访问内网资源卡顿,Ping内网延迟大。

  • 单击开始 程序 xca > xca运行程序。

    1. 制作设备证书。



      1. 此时可以看到生成的证书。

      2. 选择用户证书保存目录,保存类型选择为“PKCS #12”,单击“ok”。

        SSL VPN总项

        SSL VPN子项

        FW机型

        SVN机型

        虚拟网关

        虚拟网关是否受License控制

        不受License限制,受设备型号规格限制

        License限制,默认赠送1

        支持根系统下创建虚拟网关

        支持

        不支持,所有虚拟网关均创建在虚拟系统下

        认证授权

        是否支持多级认证

        不支持

        支持,最多支持3级认证

        认证和授权分离

        不支持

        支持

        支持多个认证域

        支持

        不支持

        访问控制策略

        不支持

        支持

        安全策略与用户/组关联

        支持

        不支持

        禁止Web登录

        不支持

        支持

        辅助认证

        终端标识码

        不支持

        支持

        图形校验码

        不支持

        支持

        桌面云

        负载均衡网关

        不支持

        支持

        安全云网关

        不支持

        支持

        用户锁定

        用户锁定时的认证方式

        仅本地用户

        本地用户或服务器用户

        用户锁定的方式

        仅锁定用户名

        支持锁定用户名或用户源IP

        SSL VPN调整网络扩展参数是否强制用户下线

        管理员变更(增加、修改、删除)网络扩展手工路由网段,该虚拟网关已在线的用户会被强制踢下线。

        管理员添加网络扩展地址池网段,该虚拟网关已在线的用户不会被踢下线。

        管理员删除或修改网络扩展地址池网段,该虚拟网关从这个网段里分配IP地址上线的用户会被踢下线,不从这个网段中分配IP地址上线的用户不会被踢下线。

        使用客户端拨号登录无法生成虚拟网卡,如何解决

        老版本SecoClient部分驱动程序与操作系统不兼容,可能导致无法生成虚拟网卡,请安装7.0.5.1及其后续版本的SecoClient解决。

        SSL VPN有哪些命令可以用来采集调试日志

        建议使用debugging sslvpn-user all v-gateway-name user-name命令来采集调试日志,此命令可以打开所有业务访问调测开关。

        SSL VPN使用客户端拨号提示返回接收码超时,如何解决

        老版本SecoClient部分驱动程序与操作系统不兼容,可能导致此问题,请安装7.0.5.1及其后续版本的SecoClient解决。

        SSL VPN使用客户端拨号成功后,终端是否支持自行修改账户密码

        支持,请按照如下方式修改。

        1. 右键单击客户端的托盘图标,在弹出的菜单中选择“修改密码”

        2. 在弹出的“修改密码”窗口中修改登录密码。

        路由模式

        命令

        用户侧生成的路由

        接入服务

        手动路由模式

        network-extension mode manual

        network-extension manual-route 10.1.1.0 255.255.255.0

        选择手动路由模式时,必须指定用户访问的Intranet网段。

        只有到总部(10.1.1.0/24)的流量进入虚拟网卡6.6.6.1,并进入SSL VPN隧道。到Internet和LAN的路由保持不变。

        用户可以同时访问LAN、Internet和企业内网。

          IPv4 Route Table   ===================================================================================================================   Active Routes:   Network Destination            Netmask            Gateway            Interface      Metric         0.0.0.0              0.0.0.0      192.168.1.2      192.168.1.2        10    //访问Internet的路由           6.6.6.1        255.255.255.255           On-link               6.6.6.1         257        10.1.1.0       255.255.255.0         On-link            6.6.6.1         1    //访问企业内网的路由        10.1.1.255        255.255.255.255           On-link               6.6.6.1         257     192.168.2.0       255.255.255.0      192.168.1.2       192.168.1.2        11    //访问局域网的路由   ===================================================================================================================

        分离路由模式

        路由模式

        命令

        用户侧生成的路由

        接入服务

        分离路由模式

        network-extension mode split

        默认路由的出接口IP地址被修改为虚拟网卡的IP地址,用户无法访问Internet。由于到LAN的路由保持不变,用户仍然可以访问LAN。

        用户只能访问LAN和企业内网,不能访问Internet。

          IPv4 Route Table   ===================================================================================================================   Active Routes:   Network Destination            Netmask            Gateway            Interface      Metric         0.0.0.0             0.0.0.0         On-link            6.6.6.1          1    //访问企业内网的路由            6.6.6.0          255.255.255.0           On-link               6.6.6.1         257           6.6.6.1        255.255.255.255           On-link               6.6.6.1         257         6.6.6.255        255.255.255.255           On-link               6.6.6.1         257     192.168.2.0       255.255.255.0     192.168.1.2        192.168.1.2         11    //访问局域网的路由   ===================================================================================================================

        全路由模式

        路由模式

        命令

        用户侧生成的路由

        接入服务

        全路由模式

        network-extension mode full

        几乎所有路由的出接口IP地址都修改为虚拟网卡的IP地址,这意味着所有来自用户的流量都进入SSL VPN隧道。路由表中仍然存在到192.168.2.0(本地LAN)的路由。由于此路由的开销为11,但防火墙下发的路由开销为1。因此,到192.168.2.0的路由不生效。

        用户只能访问企业内网,不能访问LAN和Internet。

          IPv4 Route Table   =========================================================================================================================================   Active Routes:   Network Destination                      Netmask                Gateway                    Interface           Metric             0.0.0.0                   0.0.0.0             On-link                  6.6.6.1             1    //访问企业内网的路由             6.6.6.0             255.255.255.0             On-link                  6.6.6.1           257    //访问企业内网的路由             6.6.6.1           255.255.255.255             On-link                  6.6.6.1           257    //访问企业内网的路由           6.6.6.255           255.255.255.255             On-link                  6.6.6.1           257    //访问企业内网的路由         192.168.2.0             255.255.255.0         192.168.1.2              192.168.1.2            11    //访问企业内网的路由         192.168.2.0             255.255.255.0             On-link                  6.6.6.1             1    //访问企业内网的路由       192.168.2.255           255.255.255.255             On-link                  6.6.6.1           257    //访问企业内网的路由   =========================================================================================================================================

        SSL VPN的网络扩展服务提供三种路由模式总结如下:

        • 在手动路由模式下,必须明确定义总部网络子网,并且可以通过SSL VPN的虚拟网络适配器访问它,同时内部网和互联网访问也可以保持在可访问的情况下。

        • 在分离路由模式下,内部LAN访问继续可访问,因为本地LAN网关未更改。但是互联网和HQ子网可以通过虚拟网络适配器访问,这就是为什么SSL VPN客户端失去了互联网访问,应在HQ中配置代理服务器,为他们提供互联网访问。

        • 在全路由模式下,所有流量路由(互联网、内部网、HQ子网)都通过SSL VPN的虚拟网络适配器路由,这就是为什么在该模式下只有HQ子网可以访问,内部网和互联网将无法访问(互联网可以在总部再次提供代理服务器,如拆分隧道场景)。

        SSL VPN接入后Ping内网延迟大,如何解决

        SSL VPN接入后Ping内网延迟大,可能原因如下。

        • 防火墙配置的安全策略,没有放行untrust到local的UDP协议和443端口的报文。

          终端采用快速传输模式访问SSL VPN虚拟网关时,采用UDP协议和443端口,因此需要在防火墙上配置安全策略以放行untrust到local的UDP协议和443端口的报文。如果SSL VPN虚拟网关在内网,外层有NAT设备,还需要在NAT设备上配置UDP协议和443端口的NAT映射。

        • 防火墙配置了HTTPS-Flood攻击防范,且阈值过低。

          执行display anti-ddos defend information system命令查看是否开启HTTPS-Flood攻击防范及其阈值,可以尝试执行anti-ddos https-flood source-detect alert-rate alert-rate命令重新配置阈值。

        相关资源


        打赏

        本文链接:https://www.kinber.cn/post/2423.html 转载需授权!

        分享到:


        推荐本站淘宝优惠价购买喜欢的宝贝:

        image.png

         您阅读本篇文章共花了: 

      群贤毕至

      访客