锐捷【WALL1600 下一代防火墙】SSL VPN代理模式拨入后无法访问内网资源

1 、故障现象
SSL VPN能正常拨入，但是无法无法访问业务。
如图1代理资源已经正常下发；如图2访问资源访问被拒绝；如图3资源无法打开;如图4、图5资源可以打开但是显视不完整

2、 故障可能原因
VPN没有正常拨入
防火墙没有配置SSL VPN安全规则放通any到资源的访问
防火墙没有到服务器资源的路由,或服务器没有到防火墙的路由,或防火墙没有配置正确的DNS
服务器本身业务不正常
SSL VPN代理资源的访问操作不对

3 、故障处理流程

4、故障排查步骤

步骤1：确认SSL VPN已经正常拨入
如下图，在登陆SSL VPN后如果可以看到所配置的资源，表示已经拨入成功;如果无法看到资源参考"SSL VPN拨入不成功"章节排查。

步骤2：查看防火墙的安全规则是放通,是否有配置了访问过滤
第1步、查看是否有配置了放通any到资源的ssl vpn规则
防火墙默认情况下阻止所有通过的数据,所以需要确认防火墙本身是否有放通访问IP到资源的SSL VPN安全规则。在 防火墙－－安全策略－－安全策略处查看:
如下图:
1.确认是否有放通的条目；
2.确认源和目的网段是否配置正确；
3.确认规则是否启用；如没有配置按图2添加规则。

注意：一是防火墙规则必须勾选才能生效；二是安全规则是从上向下匹配的，匹配到一条就不会再向下匹配了，所以一定要确保any到服务器的数据能匹配到允许的SSL VPN规则的,且不会匹配到其它的安全规则。
 
第2步、查看"Web访问配置"是否有做了访问过滤,是否有开启代理服务
在VPN--SSL远程接入--Web访问配置处查看。默认情况允许所有的http访问操作，如果把左边的访问操作加入到了右边，表式不允许这种访问操作。如下图1表示不许get动作,那么就会出现如下图2访问被拒绝的情况，出现这种情况建议把过滤配置恢复默认；如图3默认情况下是不过滤任何操作的，建议保持默认配置。如下图4表示不开启代理服务,也会出现如下图2访问被拒绝的情况,出现这种情况需要开启代理服务；如图5开启代理服务的配置。

步骤3：确认防火墙到资源的路由是否可达,DNS是否有设置好
在SSL VPN代理模式，客户端访问服务器的数据需要防火墙代理访问，所以要确保防火墙能和服务器正常通信，如果资源为域名的情况下防火墙上要配置好DNS，确保能解析服务器的域名,可以通过在防火墙上ping服务器测试路由是否达。在防火墙与服务器路由不可达，或域名无法解析会出现如下图故障现象,出现此故障后按以下步骤排查：

第1步、测试防火墙与服务器的路由是否可达
如下图在防火墙系统管理－－监控－－系统监控－－诊断处测试

如果防火墙本身都无法访问到服务器，首先确认防火墙本身是否有到达服务器的路由，确认防火墙与服务器之间的设备是否有到达防火墙和服务器的路由，确认服务器是否有到达防火墙的路由。有些用户的服务器有双网卡，一个网卡连接到了专网，一个网卡连接到新增的防火墙出口，这就可能存在服务器的网关在专网上，把转发到防火墙的数据误转发到专网上。出现以上情况需要用户配合修改路由,确保服务器能回包到防火墙。
第2步、配置好DNS,并测试防火墙能否解析服务器的域名
在网络管理－－基本配置－－DNS配置，如图１配置好DNS并测试能否正确解析服务器域名，如图2表示解析正常。如果出现无法解析与用户确认DNS是否正确，域名是否正确,并重新配置。

步骤4：在内网确认服务器本身的业务是否正常
需要拨入vpn后访问内网服务器的资源，那么首先我们要确保服务器业务本身是正常的，可以在内网的电脑上尝试是否可以打开服务器资源。如果不能打开要告知用户排查解决。

步骤5：确认SSL VPN代理资源的访问操作是否正确
电脑在使用代理方式访问资源时会有安全告警提示，如下图1为访问资源，如图2为点击资源时弹出的提示,询问是否只查看安全传送的内容，

此时一定选择“否”让网页的所有内容都传送过来；
如果不小心选择“是”了，则会出现如图3,图４故障，网页只能打一部分，解决办法：关闭此网页，再重新打开，重新点击资源，选择“否”即可；选择否会正常打开网页如图5、图6。

如果还是无法解决参考“步骤6：还是无法解决收集信息联系4008111000”