1676540662,

组网及说明

不涉及

问题描述

防火墙F1000-ak作为sslvpn网关   ip接入方式，拨号已经成功，但是访问不了内网业务资源。

过程分析

1.排查ac口是否加入了安全域中，安全策略是否放通.
排查无问题。



2.排查防火墙AC口到内网业务地址，和内网地址到ac口是否可通信。
可通信无问题。

#配置中配置路由列表无问题
sslvpn context ss
gateway ssl
ip-tunnel interface SSLVPN-AC0
ip-tunnel address-pool sslpool mask 255.255.255.0
ip-tunnel dns-server primary 192.168.9.210
ip-tunnel dns-server secondary 223.5.5.5
ip-route-list 1
include 192.168.9.0 255.255.255.0

3.外网终端也可以获取到了sslvpn地址池内的地址
无问题


4.查看内网接口配置应用有策略路由
内网口

解决方法

最后排查是由于：内网口是否有策略路由等将回程报文错误的转发到其他接口，导致报文丢弃。
优化方法：
发现配置策略路由有3个node节点

第一个node节点匹配了acl 3997，发现3997中匹配有一个内网地址。
由于pbr的策略是由上往下依次匹配，因此在acl 3997中再添加一条rule规则匹配内网9.253后问解决、

CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。本文来源：知了社区基于知识共享署名-相同方式共享3.0中国大陆许可协议,防火墙SSL VPN拨入后访问不了内网