- SINFOR_SSLVPN_v4.x_IP服务使用相关的注意事项_20090305.pdf
-
发布时间:2010-07-16 11:13:02
发布时间:2010-07-16 11:13:02
前言:本文主要是由研发提供的资料,经整理后得出的精华,希望对大家在技术支持中排查问题有帮助,以后会不定期更新该文档,并更新日期。
1.防dos攻击里的限定可以访问的IP段范围,注意和必须IP服务虚拟IP池保持一致,否则通过IP服务无法访问资源。
2.ipsec的虚拟IP池注意不要和ip服务的虚拟IP池冲突。
3.ip服务在SNAT模式下使用文件共享,对同一内网机器只支持一个虚拟IP进行访问,因为SNAT下,对于内网机器来说,所有的虚拟IP都变成了ssl设备相关网口的ip,微软的文件共享只支持2个ip之间一个共享,所以后面来的链接会顶掉前面的。路由模式无此问题。
4.客户端不能收发数据的时候,请先检查本地连接中是否装载了第三方的可疑驱动,卸载后重试ip服务。
5.IP服务如果路由模式下无法使用,请尝试SNAT模式。
6.IP服务如果结合域名等方式无法使用,请尝试ip方式,确定问题所在。
7.请注意区分页面脚本错误(即访问页面资源时弹出脚本错误提示),ip服务是不会导致这种错误的。
8.如果ip服务客户端报连接不上vpn网关(现象是登录资源列表后,弹出警告框提示连接不上VPN网关)
A、请先检查:IE -> 工具 -> Internet选项 -> Internet临时文件 -> 设置 -> 检查所存网页的较新版本 ->选择 “自动”。
B、若问题没解决,请用debug view查看是否出现"IptunSSLHandshake Faild",若出现该日志,请先关闭本地的防火墙等相关安全程序。
C、若问题仍然存在那么就是外网可能存在限制单元(类似有AC功能的深度防御网关等),这个就要推动客户去查看网络环境了。
9.IP服务无法在路由模式下使用和内网同一网段的ip,因为ip服务没有回复arp包的功能。
解决:
A、在设备上添加一个程序来自动定时发送和内网口处于同一网段的虚拟ip的arp包, 以内网口作为mac地址(有需要时,该程序向研发彭默索取)。
B、或者在内网机器上静态添加一个arp绑定脚本,把相应的虚拟ip和设备内网口mac做绑定。
10.IP服务服务端报警告"recevie valid packet with ip xxx.xxx.xxx.xxx.",不影响用户使用
存在2种可能:
a.该虚拟ip用户已注销,但是内网服务器回复的ip包才到达设备上。
b.ssl设备做网关,代理内网电脑上网。某台内网电脑访问的外网ip地址和我们的虚拟ip地址存在冲突。
11.虚拟网卡获取不到ip如何处理?
用debugview查看日志以及查看客户端日志Sinfor\SSL\CSClient\CSAppSupport\CSAppSupportClient.log
附件: SINFOR_SSLVPN_v4.x_IP服务使用相关的注意事项_20090305.pdf (205 K) 下载次数:179