设为首页   锐捷官网
用其他帐号登录:
查看: 3828|回复: 0

[安全] VPN >> SSL VPN >> 常见故障

[复制链接]

761

主题

733

帖子

3830

积分

版主

Rank: 7Rank: 7Rank: 7

积分
3830
发表于 2015-5-8 18:20:14 | 显示全部楼层 |阅读模式
1、SSLVPN无法正常获IP地址

1)查看是否有勾选了地址池组,如果有勾选需要在ssl vpn用户组管理中,配置“用户组虚拟地址池”

2)是否是虚拟网卡没装好,如安装过程中被360或杀毒软件拦截了或者与其他软件有冲突   

3)是否端口被封,包括tcp 443,udp/tcp888  

4)尝试更换一台pc测试一下,是否联接成功



2、SSL/VPN连接成功即网卡中断

设置的资源子网包含链路网段,路由被冲掉。

SSL/VPN和SRA远程接入,请不要将接口链路所在网段划入“资源子网”和“可访问子网”。



3、SSL/VPN的地址能获取但资源无法访问

1)检查防火墙的参数设置:
4.png
2)如果选择SSLVPN的缺省通信策略为“直接放行”,必须配置相关资源的路由:
3.png
3)如果选择SSLVPN的缺省通信策略为“按规则处理”,必须配置防火墙规则:
2.png
反向NAT规则:所有SSL/VPN的用户访问内网资源,实际使用的是eth1这个内网接口地址,而不是192.168.0.0/16这个虚拟IP地址网段来和内网通信。
1.png
4)确认路由下发是否正常,建议把vpn版本升级到 *  * 的正式版本;





4、VPN产品SSLVPN用户禁用后再允许,登陆还是提示用户被禁止

可使用如下方法恢复:

①删除再重新添加用户;

②使用查询方式找到用户,选择允许;

③升级VPN设备版本至2.50.84.9及以上的版本。



5、SSL/VPN登陆提示CA根错误

使用数字证书认证时,需要勾选认证参数的证书项。
0.png
6、关联程序功能无法使用,如何解决?

故障分析:

1)打开 [工具] 菜单,选择 [Internet选项...] 子菜单,弹出 [Internet选项] 对话框;

2)选择[安全]选项卡,在 [选择要查看的区域或更改安全设置]中,选择 [Internet];

3)点击中部 [自定义级别] 按钮,弹出Internet区域的安全设置对话框;

4)将“未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”选项由“禁止” ,改为“提示”;



进行以上操作若仍然无法使用,请在[Internet选项...]->[安全]选项卡中受信任站点里添加SSL登录的地址,如https://x.x.x.x



7、打开SSL页面时不断出现安装控件的提示,如何解决?

故障分析:

可能是由于原有的控件被损坏所造成,可手动删除原有的控件,然后重新登录安装即可。删除控件的方法:

1)32位机器在浏览器上输入:http://x.x.x.x/install32.cab,64位机器输入http://x.x.x.x/install64.cab,将下载的文件解压缩,即sslocx.ocx。

2)新建一个文本文件,内容为regsvr32 /u sslocx.ocx。保存后把该文本文件的后缀“txt”改成“bat”。

3)将以上两个文件放在同一个文件夹目录内,运行该bat程序,即可卸载成功,如图
00.png
8、登录SSLVPN后提示客户端没有安装任何杀毒软件和防火墙,禁止登录,怎么解决?

现象截图:
000.png
故障分析:

是因为网关开启了客户端接入控制功能,此功能会检测SSLVPN接入的机器,接入的客户端必须安装防火墙和杀毒软件,否则不能登录。



9、当前系统所有的VNA接口都在使用问题

错误提示:

当前系统所有的VNA接口都在使用

客户端日志截图:
0000.png
故障可能原因及解决方法分析:

1)因防火墙、杀毒软件等因素导致虚网卡未安装成功

解决方法:重新安装SSL VPN客户端虚网卡解决故障

2)上次退出sslvpn.exe进程未能正常退出

解决方法运行任务管理器,强杀sslvpn.exe进程解决故障

3)因用户误操作导致sslvpn虚网卡被禁用,或其他状态异常问题

解决方法:启用sslvpn虚拟网卡解决故障



10、SSL VPN客户端提示无法获取虚拟IP问题

错误提示:

注意:现在尝试采用 netsh来设置VNA的IP(这可能需要一些时间)

客户端日志截图:
a.png
故障分析:

用户操作系统DHCP服务未启用,无法获取虚IP地址,手动启用DHCP服务即可。
b.png
11、安装虚拟网卡驱动出现错误

错误提示:

There are no Virtual Network Adapter on this system.

现象截图:
c.png
故障分析:

可能在SSL VPN客户端安装过程中,因用户误操作导致SSL VPN被杀毒软件或防火墙禁用,检查防火墙、杀毒软件等对软件的控制选项,放开对应选项,手动下载SSL VPN客户端进行重新安装。



12、客户端PC系统时间非当前时间,导致SSL VPN隧道协商失败问题

现象截图:
d.png
故障原因分析:

因SSL VPN客户端当前系统时间不在SSL VPN证书的有效期内,导致证书校验不合法,从而隧道协商失败;

解决方法:修改PC时间解决故障



13、Win7 HOME版本下拨入SSL  VPN失败

可以尝试如下操作:

1)卸载当前SSL插件,重新安装SSL插件;

2)使用 * 管理员账户登陆SSL;

3)关闭安全软件尝试;

Win7 HOME版本属于WIN7系列中功能不完整的版本,对于网络功能的支持情况不好,如通过如上方式仍无法解决问题,建议使用旗舰版系统。



14、WIN 7非管理员用户无法登陆问题

故障描述:

若WIN7使用非管理员的普通用户,且UAC功能未开启,则使用WIN7下普通用户无法登陆SSL VPN,且没有任何提示。

故障分析:

WIN7下普通管理员用户登陆时,需要关闭UAC功能(UAC功能关闭后需要重启生效)。

WIN 7下非管理员用户在使用SSL VPN客户端时,客户端系统会自动调用WIN 7系统接口,引导用户获取 * 管理员权限,但必须保障UAC功能开启;

启用UAC后,WIN7系统将会引导该普通用户输入管理员口令,获得相应权限,强制弹出如下提示来引导用户输入管理员密码,以便后续能够正常使用。
e.png
15、SSL VPN登录时提示不在允许范围

检查SSL VPN用户组中允许登陆地址是多少,正常情况下需要是任意地址:
f.png
16、SSL VPN拨入成功后频繁掉线故障

1)检查SSL获取的虚地址与本地网段是否有冲突;

2)SSL拨入成功后,需要使用端口TCP 888进行保活,请确认该端口没有被阻塞;



17、SSL VPN认证成功后,页面一直停留在协商隧道过程中

1)排查一:

查看PC的【网络管理】,查看是否存在SSL VPN的虚拟网卡,名称为Virtual Network Adapter V9:
g.png
如果没有的话,那么需要重新安装客户端。可以在SSL登陆页面上手动下载安装:
h.png
2)排查二:

需要确保PC到网关之间的协商端口默认TCP 888(具体看SSL VPN的认证参数中的端口配置)是不是通行的。



3)排查三:

PC的本机时间超过了VPN网关证书的有效期期限内。



4)排查四:

网关的默认出厂的CA证书要保留,可以在管理界面【PKI】-【证书管理】-【证书办法机构】:


5)排查五:

可能是由于客户端文件损坏或者有新的客户端没有自动更新,可以手动在开始菜单中找到【SSLVPN客户端】,点击【卸载SSLVPN客户端]】,卸载后重新登录SSL页面,系统会提示自动安装。也可以选择手动安装客户端,只需要在认证页面上选择【手动安装驱动/插件】进行下载安装。



18、VPN产品与AD域联动做ssl vpn拨入认证有部分部门用户无法拨入

经过排查在用户AD域中的用户名有空格,但是用户实际拨入SSL VPN时没有加上空格,导致无法拨入;



19、VPN产品SSL VPN用户无法登陆,提示数据库无此用户

1)、认证方式必须选择PAP认证方式。

2)、与SAM联动时,VPN上对用户是否允许登陆的判断完全来自于SAM服务器返回,如果SAM服务器返回错误的日志,VPN则阻止用户登陆,在SSL VPN界面的提示均为用户不在数据库或者不生效,建议通过抓取VPN及SAM之间的交互报文具体定位故障原因,否则暂时在本地数据库添加此用户 * 正常拨入



20、iphone拨SSL,无法显示资源列表

针对手机必须要TCP代理资源,不然手机无法显视可访问的资源;





21、VPN设备win7 IE11 SSL VPN拨入时输入pin码后无法跳转了

需要把VPN网关版本升级到2.62.26.10版本支持,或者把浏览器版本降低到IE10或IE8;





22、IOS手机SSL VPN无法拨入

EG和VPN都有ssl vpn客户端下载了错误的客户就会无法拨上,建议重新下载ssl vpn客户端。

VPN设备的客户端是长成这样的:
i.png


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则