SANGFORSSLVPN常见问题排错指导HHW.ppt

SANGFOR SSL VPN常见问题排错指导,Sinfortool 工具的使用方法,Sinfortool工具的作用和使用方法,Sinfortool工具的作用1、Sinfortool工具是专门用于SANGFOR SSLVPN客户端控件的查看、安装、卸载等操作，可以帮助我们对客户端安装的控件进行完全的卸载，或者是重新安装以解决某些时候客户端控件的问题，也可以帮助我们在客户端访问SSL VPN有问题的时候来作为一个判断的手段。2、Sinfortool工具上分三个功能选项，分别是：查看已安装的SSL VPN控件、查看和修复系统LSP、启用debugview；,使用Sinfortool工具查看SANGFOR SSL控件,双击,使用Sinfortool工具卸载SANGFOR SSL控件,使用Sinfortool工具注册SANGFOR SSL控件,使用Sinfortool工具卸载修复系统LSP,SSL VPN常见问题排错指导,常见问题排错指导,问题处理思路一般SSL VPN的问题可以分为两类，客户端PC或者是设备端配置的问题。在处理问题时最重要的一点是，必须先判断出问题是出客户端还是设备端上，然后对应问题进行解决，而不是毫无目的去查找问题和处理问题。,常见控件列表及用途,1.SSL登陆页面无法打开1）首先判断是所有客户端都打不开登录页面还是某部分PC上打不开登录页面；2）如果是所有客户端都打不开，则需要检查设备端的设置。如果设备端单臂部署，前端FW端口映射是否80或者443没有做映射，设备默认的443和80端口是否被做过修改等；,常见问题排错指导,1.SSL登陆页面无法打开3）如果只有部分PC打不开登录页面，则问题出在客户端，需要具体检查PC的情况。如网络不通，本地防火墙杀毒软件的限制，本地IE浏览器设置问题或者是PC上安装的一些浏览器插件的问题所导致；检查客户端是否可以正常访问外网，检查PC是否可以访问其它的SSL网站（如网上银行），关闭PC上的防火墙或者杀毒软件，清空IE浏览器缓存、恢复IE默认配置、检查IE是否做了代理设置，使用sinfortool工具卸载所有插件。,常见问题排错指导,2.SSL打开登录页面很慢1）检查网络速度是否很慢，最好检测一下从PC到设备端出口位置的丢包延时情况，看是否跟网络有关系；2）检查本地IE浏览器的安全设置，尝试恢复一下默认配置；检查IE浏览器的代理是否有相关配置，尝试去掉代理的配置；3）尝试清除IE插件（使用一些第三方软件去检测IE插件并清除掉）；,常见问题排错指导,3.SSL可以正常登录，但无法访问内网资源（APP资源或者IP资源）1）检查SSL设备本身能否访问到内网资源，尝试将设备的内网IP配置到PC上，用PC去尝试一下看能否访问到，如果PC也访问不到需要检查内网路由设置或者是服务器是否做了什么限制、服务器是否开启相关的服务等；2）如果使用了域名资源，需要在客户端使用ping测试一下是否解释出正确的IP地址（不需要PING通）；3）检查访问内网资源的IP和端口是否添加完整，可以尝试添加全IP和全端口试下；,常见问题排错指导,3.SSL可以正常登录，但无法访问内网资源（APP资源或者IP资源）4）如果使用了IP资源（启用了路由模式），要注意检查服务器上是否有回包路由，可更换成SNAT模式试下；5）如果使用了IP资源，首先检查CSAppSupportClient进程是否存在，检查客户端虚拟网卡是否正常启用、是否获取到虚拟IP地址，检查路由是否下发到PC上；6）使用sinfortool工具卸载和重装控件，重装前将PC上的杀毒、防火墙全部关闭；,常见问题排错指导,4.客户端控件问题a.在客户端控件出现反复安装检查IE浏览器管理的加载项，是否SANGFOR SSL有关的控件被禁用，确保启用这些控件；其次是所访问的设备的控件版本和PC端上控件版本号不对，一般情况下如果出现这种问题使用sinfortool工具将PC上的所有控件卸载，然后重新安装即可解决；b.控件无法安装，APP服务或者IP服务启用失败尝试将PC上的杀毒软件、防火墙等全部关闭或者退出再重新访问和安装控件，其次检查注册表是否被锁死、可以手动去读写注册表看是否成功，检查出并完整卸载掉相关锁死注册表的软件；在系统user权限下安装出了问题，检查权限提升服务Sangfor PromotionService进程是否运行，或者用管理员账号登陆系统访问下SSL VPN重新安装一次控件；,常见问题排错指导,4.客户端控件问题c.客户端安装控件后导致某软件无法使用ProxyIE控件可能与某软件存在冲突，使用sinfortool工具修复一下看是否能解决问题，如果确认有冲突联系深信服800技术支持处理。,常见问题排错指导,5.第三方认证的问题a.与LDAP结合认证的问题（常见MS LDAP和IBM LDAP两种）1）首先检查设备和LDAP之间的连通性，确认配置在设备上的LDAP服务器地址、端口、用户名、密码的正确性；2）更改LDAP服务器配置时管理员用户名的写法（admin uid=admin,ou=admin,dc=sangfor,dc=com等几种方式）3）其次注意用户属性字段（sAMAccountName或者uid等）、用户过滤条件的写法等是否正确，可以使用LDAP browser等第三方软件从LDAP服务器上读取试下；,常见问题排错指导,5.第三方认证的问题b.与radius结合认证的问题1）首先检查设备和radius服务器之间的连通性，检查服务器上radius服务是否正常开启2）确认配置在设备上的radius服务器IP地址、共享密钥、认证端口、采用的协议是否与服务器相同3）检查和确认是否是标准的radius服务器,常见问题排错指导,6.其它常见问题a.Webagent无法更新成功确保设备可以上网访问webagent服务器，设备配置的DNS可以解析出webagent的域名；b.SSL外置日志中心问题首先检查日志中心版本是否和设备相对应，其次分别检查设备配置是否正确、外置日志中心的日志服务是否正常运行、服务器上是否开启了防火墙。,常见问题排错指导,常见问题排错指导,c.快速传输协议启用失败 检查设备端的udp 443端口是否可以访问到，快速传输协议启用必须依靠该端口；如果前置部署了防火墙或者路由器，请检查是否有做udp 443端口的映射到SSL 设备。,动动手,1、尝试使用sinfortool工具在未访问SSLVPN和访问过SSLVPN（用户添加上APP资源和IP资源）后显示的已经安装的控件列表和系统的LSP，并对照显示控件和PPT上常见控件列表进行对比学习，加强了解；2、使用sinfortool工具将PC上的控件进行卸载操作、进行修复LSP操作；,