

技术文档

联系我们

客户至上

成都达锐斯科技有限公司
地址：成都市武候区人民南路4段53号嘉云台丙栋7楼

电话：15378180513

联系人：

邮箱：3511891@qq.com

官网：http://www.cdh3c.com

技术文档

当前位置: 首页>>技术文档

某局点F1000-AI-55(V7) sslvpn拨号成功后无法访问内网资源

问题描述

现场SSL VPN用户能正常拨号，但是无法访问内外资源

过程分析

查看配置，内网的资源已经放通

sslvpn context ctxip

gateway gw

ip-tunnel interface SSLVPN-AC1

ip-tunnel address-pool vp1 mask 255.255.255.0

ip-route-list rt1

include 10.0.0.0 255.0.0.0

include 172.16.0.0 255.240.0.0

include 192.168.0.0 255.255.0.0

policy-group rp1

filter ip-tunnel acl 3500

ip-tunnel access-route ip-route-list rt1

default-policy-group rp1

service enable

检查两边路由表都正常

安全策略都放通了

于是再次检查配置，发现内网口配置了策略路由

正好匹配了内网的地址

#

interface GigabitEthernet1/0/15

port link-mode route

ip policy-based-route pbr

#

#

policy-based-route pbr permit node 10

if-match acl 3005

apply next-hop xxx.xxx.xxx.xxx

#

#

acl advanced 3005

rule 5 permit ip source 172.16.0.0 0.0.0.255

#

解决方法

这个PBR里加一个deny的节点，把去往sslvpn网段的流量deny

上一篇：EIA 微信认证的公众号有哪些权限怎么查
下一篇：什么是八木天线

友情链接

新华三集团思科嵌入式主板



公司地址

ADDRESS

成都市武候区人民南路4段53号嘉云台丙栋7楼



服务电话

HOTTELEPHONE

15378180513

公司简介

产品展示: H3C交换机; H3C路由器; 思科交换机; 思科路由器; 华为交换机

企业新闻

技术文档

扫一扫，加微信

Copyright © 2023 达锐斯科技川公网安备 51010802000119号 XML地图

蜀ICP备2020034250号-1 技术支持：网站模板