改为全路由模式然后在设置NAT转换
NAT的源区域为untrust(不知道为啥sslvpn的网段是untrust) 目的区域 untrust 源sslvpn ip网段 目的any 源地址转换 转换 出接口地址
问题描述
Secospace USG6300 ssl vpn网络扩展需要所有流量走vpn通道失败,目前ssl vpn拨号的用户可以访问内网,但是无法访问公网。
当前设备有关ssl vpn配置部分截取如下:
v-gateway public ssl
version tlsv11 tlsv12
v-gateway public ssl ciphersuit custom aes256-sha non-des-cbc3-sha non-rc4-sha
non-rc4-md5 aes128-sha non-des-cbc-sha
v-gateway sslvpn interface Vlanif3303 private
v-gateway sslvpn alias sslvpn
v-gateway sslvpn
basic
dns-serverx.x.213.68 x.x.163.68
ssl version tlsv11 tlsv12
ssl timeout 5
ssl lifecycle 1440
ssl ciphersuit custom aes256-sha non-des-cbc3-sha non-rc4-sha non-rc4-md5
aes128-sha non-des-cbc-sha
service
network-extension enable
network-extension keep-alive enable
network-extension keep-alive interval 120
network-extension netpool x.x.1.2 x.x.1.100 255.255.255.0
netpool x.x.1.2 default
network-extension mode full
处理过程
1、网络扩展获取到虚拟地址后,无法访问外网,需要检查是否配置的全路由模式以及是否获取到dns,检查设备配置,已经配置了全路由模式以及dns,该dns用到内网的客户端上是可以上网的。
注意:网络扩展支持的三种路由模式如下说明
网络扩展功能支持三种路由模式:分离模式(Split Tunnel),全路由模式(Full Tunnel),手动模式(Manual Tunnel)。详细介绍如下:
分离模式下,客户端发送给内网的数据,经系统路由表识别以后,交由虚拟网卡转发,其源IP赋值为虚拟IP。而访问本地子网的数据则交由真实网卡转发,源IP赋值为真实的IP。由此,网络扩展只转发前往内网的数据。同时,分离模式也把不是访问本地子网资源的其他数据经过虚拟网卡转发。
全路由模式下,无论是访问什么资源,数据一概被虚拟网卡截获,转发给虚拟网关处理。
手动模式下,在FW端,管理员必须手动配置内网网段静态路由(参见network-extension manual-route命令进行配置),然后在客户端识别前往该网段的数据,交由虚拟网卡转发
3、检查网络扩展的虚地址访问外网时的会话表,可以看到访问外网的时候,虚拟网卡的地址没有做nat转换,导致无法访问到外网。
4、配置untrust到untrust的源nat策略后问题解决。
根因
访问外网的时候,虚拟网卡的地址没有做nat转换,导致无法访问到外网。
解决方案
您阅读本篇文章共花了: 
支付宝微信扫一扫,打赏作者吧~本文链接:https://kinber.cn/post/2520.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
