《SANGFORSSLVPN常见问题排错指导HHW.ppt》由会员分享,可在线阅读,更多相关《SANGFORSSLVPN常见问题排错指导HHW.ppt(23页珍藏版)》请在三一办公上搜索。
1、SANGFOR SSL VPN常见问题排错指导,Sinfortool 工具的使用方法,Sinfortool工具的作用和使用方法,Sinfortool工具的作用1、Sinfortool工具是专门用于SANGFOR SSLVPN客户端控件的查看、安装、卸载等操作,可以帮助我们对客户端安装的控件进行完全的卸载,或者是重新安装以解决某些时候客户端控件的问题,也可以帮助我们在客户端访问SSL VPN有问题的时候来作为一个判断的手段。2、Sinfortool工具上分三个功能选项,分别是:查看已安装的SSL VPN控件、查看和修复系统LSP、启用debugview;,使用Sinfortool工具查看SANG
2、FOR SSL控件,双击,使用Sinfortool工具卸载SANGFOR SSL控件,使用Sinfortool工具注册SANGFOR SSL控件,使用Sinfortool工具卸载修复系统LSP,SSL VPN常见问题排错指导,常见问题排错指导,问题处理思路一般SSL VPN的问题可以分为两类,客户端PC或者是设备端配置的问题。在处理问题时最重要的一点是,必须先判断出问题是出客户端还是设备端上,然后对应问题进行解决,而不是毫无目的去查找问题和处理问题。,常见控件列表及用途,1.SSL登陆页面无法打开1)首先判断是所有客户端都打不开登录页面还是某部分PC上打不开登录页面;2)如果是所有客户端都打不
3、开,则需要检查设备端的设置。如果设备端单臂部署,前端FW端口映射是否80或者443没有做映射,设备默认的443和80端口是否被做过修改等;,常见问题排错指导,1.SSL登陆页面无法打开3)如果只有部分PC打不开登录页面,则问题出在客户端,需要具体检查PC的情况。如网络不通,本地防火墙杀毒软件的限制,本地IE浏览器设置问题或者是PC上安装的一些浏览器插件的问题所导致;检查客户端是否可以正常访问外网,检查PC是否可以访问其它的SSL网站(如网上银行),关闭PC上的防火墙或者杀毒软件,清空IE浏览器缓存、恢复IE默认配置、检查IE是否做了代理设置,使用sinfortool工具卸载所有插件。,常见问题
4、排错指导,2.SSL打开登录页面很慢1)检查网络速度是否很慢,最好检测一下从PC到设备端出口位置的丢包延时情况,看是否跟网络有关系;2)检查本地IE浏览器的安全设置,尝试恢复一下默认配置;检查IE浏览器的代理是否有相关配置,尝试去掉代理的配置;3)尝试清除IE插件(使用一些第三方软件去检测IE插件并清除掉);,常见问题排错指导,3.SSL可以正常登录,但无法访问内网资源(APP资源或者IP资源)1)检查SSL设备本身能否访问到内网资源,尝试将设备的内网IP配置到PC上,用PC去尝试一下看能否访问到,如果PC也访问不到需要检查内网路由设置或者是服务器是否做了什么限制、服务器是否开启相关的服务等;
5、2)如果使用了域名资源,需要在客户端使用ping测试一下是否解释出正确的IP地址(不需要PING通);3)检查访问内网资源的IP和端口是否添加完整,可以尝试添加全IP和全端口试下;,常见问题排错指导,3.SSL可以正常登录,但无法访问内网资源(APP资源或者IP资源)4)如果使用了IP资源(启用了路由模式),要注意检查服务器上是否有回包路由,可更换成SNAT模式试下;5)如果使用了IP资源,首先检查CSAppSupportClient进程是否存在,检查客户端虚拟网卡是否正常启用、是否获取到虚拟IP地址,检查路由是否下发到PC上;6)使用sinfortool工具卸载和重装控件,重装前将PC上的杀
6、毒、防火墙全部关闭;,常见问题排错指导,4.客户端控件问题a.在客户端控件出现反复安装检查IE浏览器管理的加载项,是否SANGFOR SSL有关的控件被禁用,确保启用这些控件;其次是所访问的设备的控件版本和PC端上控件版本号不对,一般情况下如果出现这种问题使用sinfortool工具将PC上的所有控件卸载,然后重新安装即可解决;b.控件无法安装,APP服务或者IP服务启用失败尝试将PC上的杀毒软件、防火墙等全部关闭或者退出再重新访问和安装控件,其次检查注册表是否被锁死、可以手动去读写注册表看是否成功,检查出并完整卸载掉相关锁死注册表的软件;在系统user权限下安装出了问题,检查权限提升服务Sa
7、ngfor PromotionService进程是否运行,或者用管理员账号登陆系统访问下SSL VPN重新安装一次控件;,常见问题排错指导,4.客户端控件问题c.客户端安装控件后导致某软件无法使用ProxyIE控件可能与某软件存在冲突,使用sinfortool工具修复一下看是否能解决问题,如果确认有冲突联系深信服800技术支持处理。,常见问题排错指导,5.第三方认证的问题a.与LDAP结合认证的问题(常见MS LDAP和IBM LDAP两种)1)首先检查设备和LDAP之间的连通性,确认配置在设备上的LDAP服务器地址、端口、用户名、密码的正确性;2)更改LDAP服务器配置时管理员用户名的写法(
8、admin uid=admin,ou=admin,dc=sangfor,dc=com等几种方式)3)其次注意用户属性字段(sAMAccountName或者uid等)、用户过滤条件的写法等是否正确,可以使用LDAP browser等第三方软件从LDAP服务器上读取试下;,常见问题排错指导,5.第三方认证的问题b.与radius结合认证的问题1)首先检查设备和radius服务器之间的连通性,检查服务器上radius服务是否正常开启2)确认配置在设备上的radius服务器IP地址、共享密钥、认证端口、采用的协议是否与服务器相同3)检查和确认是否是标准的radius服务器,常见问题排错指导,6.其它常
9、见问题a.Webagent无法更新成功确保设备可以上网访问webagent服务器,设备配置的DNS可以解析出webagent的域名;b.SSL外置日志中心问题首先检查日志中心版本是否和设备相对应,其次分别检查设备配置是否正确、外置日志中心的日志服务是否正常运行、服务器上是否开启了防火墙。,常见问题排错指导,常见问题排错指导,c.快速传输协议启用失败 检查设备端的udp 443端口是否可以访问到,快速传输协议启用必须依靠该端口;如果前置部署了防火墙或者路由器,请检查是否有做udp 443端口的映射到SSL 设备。,动动手,1、尝试使用sinfortool工具在未访问SSLVPN和访问过SSLVPN(用户添加上APP资源和IP资源)后显示的已经安装的控件列表和系统的LSP,并对照显示控件和PPT上常见控件列表进行对比学习,加强了解;2、使用sinfortool工具将PC上的控件进行卸载操作、进行修复LSP操作;,
