路由ssl连接

SSLVPN常见问题处理1、登陆页面(输用户名密码前/后)乱码使用非IE源代理浏览器如火狐将防火墙scvpn配置中的ssl版本改为ssl3.
0浏览器设置—>Internet选项-->-高级—>只保留ssl3.
0,去掉其余所有ssl和tls版本直接使用客户端登陆2、连接服务器失败通过telnet+空格+x.
x.
x.
x(服务器IP)+空格+4433(scvpn端口,可修改)测试,如果提示端口无法打开则是scvpn配置有误,如果端口正常则检查scvpn端口是否匹配了目的NAT及中间设备是否做了应用控制.
3、SSL连接关闭scvpn最大在线用户数超过设备限制4、SSL连接失败scvpn的tcp连接端口被DNAT转换成了其他服务;证书模式时证书未通过认证,确认方法:将hillstone-root.
cer导入pki信任域(方法见),双击hillstone-ukey.
pfx,输入密码hillstone将之导入浏览器,拨号时选择软件证书并选择hillstone,如果可以连接将hillstone-ukey.
pfx导入ukey再使用ukey方式连接,如果无法连接则是ukey有问题,如果可以连接则是用户的证书有问题收到新的payload类型需要卸载scvpn客户端,重新从网页登陆安装5、设置tunnel接口失败原因分析:SCVPN用户端创建的虚拟网卡在接受Hillstone安全网关下发的网卡参数时失败,一般是因为与其它软件(主要是指杀毒软件或同类VPN客户端软件)写注册表或软件冲突原因造成.
解决方法:1.
确保当前windows用户具有管理员权限,暂时关闭所有杀毒软件和360,同时建议删除其他同类VPN客户端软件,然后卸载重装scvpn,仍然失败步骤22.
使用systeminfo命令查看pc上的所有网卡,检查是否有网卡的连接名与scvpn虚拟网卡的连接名冲突,有则修改连接名,仍然失败步骤33.
在cmd命令行输入ipconfig/all,若提示"ipconfig/all不是内部命令",但输入c:\windows\system32\ipconfig.
exe可以执行,在点击计算机->属性->高级系统属性->环境变量,在用户变量中新建或编辑变量名为path,值为c:\windows\system324.
在系统变量中新建或编辑变量名为path,值为;%SYSTEMROOT%\SYSTEM32;%SYSTEMROOT%;%SYSTEMROOT%\SYSTEM32\WBEM;%SYSTEMROOT%\SYSTEM32\WINDOWSPOWERSHELL\V1.
0\;重启PC(可以与第6步合并操作后再重启)并卸载重装scvpn5.
Win7和Win8系统确保系统已激活;6.
在控制面板-->用户帐户-->更改用户帐号控制-->从不通知,需要重启生效7.
在客户端日志中查找netshinterfaceipset命令,例如2013.
08.
1723:54:14LOG_INFO[11744:9360]:Commandnetshinterfaceipsetinterface"29"metric=1forwarding=enabledstore=active,找到该命令后再cmd中输入netshinterfaceipsetinterface"29"metric=1forwarding=enabledstore=active后回车,若提示RPC服务器不可用,则进行如下操作:1).
在cmd中输入如下命令:netstartrpcss.
若问题仍然存在,则继续执行下一步;2).
使用MicrosoftWindows支持工具(包含在WindowsCD-ROM上)中包含的Netdiag工具确定域控制器是否正常工作.
可以使用MSRPC、DNS、NBT、LDAP或TCP协议执行网络跟踪.
如果域控制器存在问题,请与网络管理员联系以解决问题.
如果仍然出现此问题,则继续执行下一步.
3).
使用Windows支持工具中包含的Netdom工具验证网络信任关系,然后重置或建立到服务器的连接.
4).
运行Services.
msc,检查一下RPC的RemoteProcedureCall(RPC)和RemoteProcedureCall(RPC)Locator这两项服务的情况,将它们设置为自动启动.
如果还不行,看看DCOMServerProcessLauncher这个服务是否已经运行如果没有,启动DCOM服务即可解决.
6、设置tunnel路由失败原因是下发的隧道路由受PC用户权限限制,可以修改隧道路由规避,例如PC不允许虚拟网卡下发默认路由,可以修改0.
0.
0.
0/0为0.
0.
0.
0/1加128.
0.
0.
0/1(1位掩码=128.
0.
0.
0)7、连接图标一直为黄色(连接中)常见问题为PC安装了杀毒软件或者360,需要关闭所有此类软件并卸载重装scvpn客户端,尽量保证安装时不提示"检测到反病毒软件".
8、选择登陆后连接图标仍然显示红色此现象说明scvpn软件安装失败,原因可能是杀毒软件影响、windows用户不是管理员权限、安装的scvpn版本过低等.
9、主机硬件ID错误开启了主机检测并且之前使用该用户在其他PC登陆过,需要在scvpn主机绑定验证中进行解绑.
罕见情况:批量采购的PC,使用XP的ghost系统导致主机硬件ID冲突,需要使用特殊的scvpn客户端版本:scvpn1.
3.
3.
1134-xp系统主机绑定解决.
rar10、服务器证书还未生效PC通过web方式登陆Hillstone安全网关,同步系统时间,然后重启设备,如果仍然不行,手动删除SCVPN用户PC上安装目录(如"C:\ProgramFiles\Hillstone\HillstoneSecureConnect\cert")下的所有文件,再尝试进行连接.
11、服务器证书改变卸载scvpn客户端并重新从网页登陆安装,如果仍然不行,手动删除SCVPN用户PC上安装目录(如"C:\ProgramFiles\Hillstone\HillstoneSecureConnect\cert")下的所有文件,再尝试进行连接.
12、处理IP设置消息失败1.
检查当前windows用户是否有管理员权限,并检查是否被杀毒软件拦截2.
检查本地PC上是否安装了同类vpn客户端软件,并建议删除3.
卸载并使用PC管理员用户重装scvpn客户端,如果出现杀毒软件提示则选择允许操作4.
禁用再启用虚拟网卡13、接口地址冲突scvpn的地址池网段与PC本地某网卡重叠,需要修改scvpn地址池网段,一般建议使用生僻地址段.
14、接口地址与网关地址不在同一网络scvpn的tunnel接口IP与地址池IP不在同一网段,需要修改为相同网段15、client与server通讯逻辑不匹配原因分析:原因1:scvpn地址池中的地址和远端pc的本地网卡地址冲突原因2:scvpn的tunnel接口地址与scvpnpool地址不在同一个网段解决方法:修改Hillstone安全网关设备上scvpnpool的地址设置,尽可能不使用像192.
168.
1.
0或192.
168.
0.
0这类客户端常用的IP,来避免IP冲突检查Hillstone安全网关设备上SCVPN的tunnel接口地址是否和scvpnpool地址在同一网段16、用户名密码错误确认所使用的用户名密码属于指定aaa服务器并且正确,如果配置scvpn的接入用户->aaa服务器时在hillstone设备上填写了域名,则登陆时用户名要加"@域名"此域名与aaa服务器无关,只作为hillstone设备区分不同的aaa服务器的标识.
17、scvpn拨入后无法访问内网常见原因:运营商封端口,隧道路由,内网回指路由未配置需要确认的问题:1.
确认设备上没有配置对UDP数据端口的映射;2.
UDP数据端口不通,原因可能为用户本地网络设备或其中一端运营商封禁端口;3.
设备有多个外网接口且未关闭逆向路由时,有回包从错误接口发出的可能,需关闭逆向路由;4.
确认隧道路由配置正确;5.
确认设备策略配置正确,源和目的安全域分别为SCVPN隧道接口和内网接口安全域;6.
确认需要访问的内网IP与拨入终端本地IP网段没有重叠;7.
确认设备上配置了到目的IP的正确路由;8.
内网存在三层设备时,确认三层设备配置了到SCVPN地址池网段的路由,可通过在内网接口配置SNAT规避.
此问题在设备部署为旁路模式SCVPN时较为常见;9.
确认SCVPN地址池网段在服务器的信任范围内,可通过在内网接口配置SNAT规避;10.
查看设备是否对被访问IP配置了源路由或策略路由,有配置时需添加优先级更高的策略路由将访问SCVPN地址池网段的流量下一跳指向SCVPN隧道接口;11.
Debug查看数据包走向,是否存在其他问题.
罕见原因:个别情况下访问内网时内网也需要主动访问拨入客户端,此时需放行内网接口到SCVPN隧道接口安全域的策略.