Secospace USG6300 ssl vpn网络扩展需要所有流量走vpn通道失败,目前ssl vpn拨号的用户可以访问内网，但是无法访问公网。

当前设备有关ssl vpn配置部分截取如下：

v-gateway public ssl
version tlsv11 tlsv12
v-gateway public ssl ciphersuit custom aes256-sha non-des-cbc3-sha non-rc4-sha
non-rc4-md5 aes128-sha non-des-cbc-sha
v-gateway sslvpn interface Vlanif3303 private
v-gateway sslvpn alias sslvpn

v-gateway sslvpn
basic
dns-serverx.x.213.68 x.x.163.68
ssl version tlsv11 tlsv12
ssl timeout 5
ssl lifecycle 1440
ssl ciphersuit custom aes256-sha non-des-cbc3-sha non-rc4-sha non-rc4-md5
aes128-sha non-des-cbc-sha
service
network-extension enable
network-extension keep-alive enable
network-extension keep-alive interval 120
network-extension netpool x.x.1.2 x.x.1.100 255.255.255.0
netpool x.x.1.2 default
network-extension mode full

1、网络扩展获取到虚拟地址后，无法访问外网，需要检查是否配置的全路由模式以及是否获取到dns，检查设备配置，已经配置了全路由模式以及dns，该dns用到内网的客户端上是可以上网的。

  注意：网络扩展支持的三种路由模式如下说明

      网络扩展功能支持三种路由模式：分离模式（Split  Tunnel），全路由模式（Full Tunnel），手动模式（Manual Tunnel）。详细介绍如下：

• 分离模式下，客户端发送给内网的数据，经系统路由表识别以后，交由虚拟网卡转发，其源IP赋值为虚拟IP。而访问本地子网的数据则交由真实网卡转发，源IP赋值为真实的IP。由此，网络扩展只转发前往内网的数据。同时，分离模式也把不是访问本地子网资源的其他数据经过虚拟网卡转发。

• 全路由模式下，无论是访问什么资源，数据一概被虚拟网卡截获，转发给虚拟网关处理。

• 手动模式下，在FW端，管理员必须手动配置内网网段静态路由（参见network-extension manual-route命令进行配置），然后在客户端识别前往该网段的数据，交由虚拟网卡转发

3、检查网络扩展的虚地址访问外网时的会话表，可以看到访问外网的时候，虚拟网卡的地址没有做nat转换，导致无法访问到外网。

 4、配置untrust到untrust的源nat策略后问题解决。

访问外网的时候，虚拟网卡的地址没有做nat转换，导致无法访问到外网。