CENTIO#KNOWLEDGEBASE
Как да отстраните проблеми с отдалечения достъп чрез SSL VPN и преноса на данни?
Тази статия описва стъпките за отстраняване на проблеми при създаване на SSL връзката за отдалечен достъп и проблеми с преноса на данни. Преди да пристъпите към отстраняване на неизправности, моля, проверете дали SSL VPN отдалеченият достъп е конфигуриран правилно, като следвате защитната стена на Sophos XG: Как да конфигурирате SSL VPN отдалечен достъп.
Отнася се за следните продукти и версии на Sophos
Sophos Firewall
Потребителят на SSL VPN отдалечен достъп не може да се свърже
Проверете достъпността на потребителите до портала
Уверете се, че SSL VPN услугата е избрана за WAN интерфейс под Administration > Device Access.
(кликнете върху изображението за пълен размер)
Проверете настройките на администраторския порт
Уверете се, че потребителите на SSL VPN имат достъп до портала чрез порта, конфигуриран под Administration > Admin Settings
(кликнете върху изображението за пълен размер)
Проверете сертификата
Уверете се, че подходящият сертификат е свързан с SSL VPN потребителя. Използвайте сертификата на уреда и ако е необходимо се препоръчва да регенерирате сертификата. За повече подробности, моля вижте Sophos XG Firewall Самоподписаните сертификати не се поддържат като сертификат за SSL сървър в SSL VPN.
Проверете регистрационните файлове от GUI
Отидете в Log Viewer и филтрирайте Log Comp към SSL VPN Client.
(кликнете върху изображението за пълен размер)
Проверете потока на SSL VPN трафик от конзолата
Впишете се към Command Line Interfdace (CLI) и изберете 4: Device Console. Напишете следната команда, която използва настройката за подразбиране на SSL VPN port 8443, за да анализира резултата.
Бележка: Ако SSL VPN е бил конфигуриран да използва различен порт, използвайте командата отдолу вместо 8443. Повече информация за персонализиране на SSL VPN порт Sophos XG Firewall: Какви са новостите във v17.1
tcpdump "port 8443"
(кликнете върху изображението за пълен размер)
Проверете регистрационните файлове от Advance shell
Впишете се към Command Line Interfdace (CLI) и изберете 5: Device Management, след това 3: Advanced Shell и въведете следната команда:
tail -f /log/sslvpn.log
(кликнете върху изображението за пълен размер)
Проверете регистрационните файлове от SSL VPN Client
С десен бутон на мишката изберете SSL VPN клиент от лентата на задачите на вашия компютър и изберете View Log.
(кликнете върху изображението за пълен размер)
Проверете дали потребителят е назначил правилната SSL VPN политика за отдалечен достъп
Отидете на Authentication > Users и се уверете,че SSL VPN потребителят има разрешени две или повече едновременни влизания, в случай че потребителят едновременно влезе от друга машина паралелно.
(кликнете върху изображението за пълен размер)
Проверете метода за удостоверяване на SSL VPN
Когато получавате съобщение за грешка Auth-failure в логовете, проверете метода за удостоверяване от Authentication > Services > SSL VPN Authentication Methods.
Потребителите на SSL VPN не могат да прехвърлят данни
Проверете правилото на защитната стена
В случай че SSL VPN се свързва успешно, но потребителите не могат да се свържат с разрешените ресурси зад Sophos XG Firewall, проверете дали правилото за защитна стена е създадено и конфигурирано. Ако в това правило е избрана някаква конкретна услуга, опитайте да разрешите всяка услуга и проверете свързаността.
(кликнете върху изображението за пълен размер)
Проверете достъпността на ресурсите
Впишете се в Command Line Interfdace(CLI) и изберете 4. Device Console. Проверете дали вътрешният позволен ресурс е достъпен от самата защитна стена Sophos XG. Като пример можете да изпълните командата ping към вътрешен ресурс от конзолата на защитната стена Sophos XG. Ако разрешените ресурси не са достъпни през защитната стена Sophos XG, те няма да бъдат достъпни и от чрез WAN мрежа.
Проверете разрешените мрежови ресурси
Уверете се, че физическите портове на защитната стена Sophos XG не са разрешени в Permitted Network Resources (IPv4) в секцията Tunnel Access под VPN > SSL VPN (Remote Access). Ако е позволено, SSL VPN потребителят няма да може да получи достъп до вътрешната мрежа, вместо това се създава нов IP хост/мрежа за достъп на SSL VPN потребител.
(кликнете върху изображението за пълен размер)
Проверете прихващането на пакета за SSL VPN
Впишете се към Command Line Interfdace(CLI) и изберете 4. Device Console, за да стартирате следната команда, която използва по подразбиране SSL VPN порт 8443.
Бележка: Ако SSL VPN е конфигуриран да използва различен порт, не забравяйте да го използвате в командата по-долу вместо 8443. Повече информация за персонализирането на SSL VPN порта в Sophos XG Firewall: Какви са новостите във v17.1
drop-packet-capture “port 8443”
(кликнете върху изображението за пълен размер)
SSL VPN се рестартира често
Проверете дали WAN порта на защитната стена Sophos XG не е разрешен под VPN > SSL VPN (Remote Access) > Tunnel Access > Permitted Network Resources (IPv4). Ако е разрешено, SSL VPN клиентът може да прекъсва често връзката.
Бележка: В краен случай, опитайте да деинсталирате SSL VPN клиента за отдалечен достъп и да го инсталирате отново.
Ръководство на анлийски език: Sophos XG Firewall: How to troubleshoot SSL VPN remote access connectivity and data transfer issues