SANGFOR-SSL-VPN-常见问题排错指导-HHW

SANGFORSSLVPN常见问题排错指导Sinfortool工具的使用方法Sinfortool工具的作用和使用方法•Sinfortool工具的作用1、Sinfortool工具是专门用于SANGFORSSLVPN客户端控件的查看、安装、卸载等操作，可以帮助我们对客户端安装的控件进行完全的卸载，或者是重新安装以解决某些时候客户端控件的问题，也可以帮助我们在客户端访问SSLVPN有问题的时候来作为一个判断的手段。2、Sinfortool工具上分三个功能选项，分别是：查看已安装的SSLVPN控件、查看和修复系统LSP、启用debugview；•使用Sinfortool工具查看SANGFORSSL控件双击•使用Sinfortool工具卸载SANGFORSSL控件•使用Sinfortool工具注册SANGFORSSL控件•使用Sinfortool工具卸载修复系统LSPSSLVPN常见问题排错指导常见问题排错指导•问题处理思路一般SSLVPN的问题可以分为两类，客户端PC或者是设备端配置的问题。在处理问题时最重要的一点是，必须先判断出问题是出客户端还是设备端上，然后对应问题进行解决，而不是毫无目的去查找问题和处理问题。•常见控件列表及用途控件名称控件作用安装时间CSClientManagerPrj客户端控件管理工具，安装其他控件时会装上cscm启用其他需要控件的功能时会强制安装cscm控件SangforPromote权限提升服务程序，在使用users权限登录系统时，让其能够调用和安装其它控件在安装第一个控件时也会自动安装此控件，安装该服务必须拥有administrators组权限SVPNMonitor虚拟专线功能实现控件对用户启用了虚拟专线功能时会安装此控件ClientNSPPrj域名解析控件用户启用app、ip资源时SSOClientPrj单点登录控件用户关联自动填表sso资源功能时安装UCPucp加速程序用户启用快速传输协议ProxyIEapp服务控件（抓取aap服务的数据包），ucp加速控件用户启用app服务或启用ucp加速时CSAppSupportClientip服务客户端控件（读写虚拟网卡上数据）用户启用ip服务，安装虚拟网卡，登录后有该进程VNICip服务虚拟网卡（添加路由，抓取访问IP资源数据）用户启用ip服务时会安装虚拟网卡1.SSL登陆页面无法打开1）首先判断是所有客户端都打不开登录页面还是某部分PC上打不开登录页面；2）如果是所有客户端都打不开，则需要检查设备端的设置。如果设备端单臂部署，前端FW端口映射是否80或者443没有做映射，设备默认的443和80端口是否被做过修改等；常见问题排错指导1.SSL登陆页面无法打开3）如果只有部分PC打不开登录页面，则问题出在客户端，需要具体检查PC的情况。如网络不通，本地防火墙杀毒软件的限制，本地IE浏览器设置问题或者是PC上安装的一些浏览器插件的问题所导致；检查客户端是否可以正常访问外网，检查PC是否可以访问其它的SSL网站（如网上银行），关闭PC上的防火墙或者杀毒软件，清空IE浏览器缓存、恢复IE默认配置、检查IE是否做了代理设置，使用sinfortool工具卸载所有插件。常见问题排错指导2.SSL打开登录页面很慢1）检查网络速度是否很慢，最好检测一下从PC到设备端出口位置的丢包延时情况，看是否跟网络有关系；2）检查本地IE浏览器的安全设置，尝试恢复一下默认配置；检查IE浏览器的代理是否有相关配置，尝试去掉代理的配置；3）尝试清除IE插件（使用一些第三方软件去检测IE插件并清除掉）；常见问题排错指导3.SSL可以正常登录，但无法访问内网资源（APP资源或者IP资源）1）检查SSL设备本身能否访问到内网资源，尝试将设备的内网IP配置到PC上，用PC去尝试一下看能否访问到，如果PC也访问不到需要检查内网路由设置或者是服务器是否做了什么限制、服务器是否开启相关的服务等；2）如果使用了域名资源，需要在客户端使用ping测试一下是否解释出正确的IP地址（不需要PING通）；3）检查访问内网资源的IP和端口是否添加完整，可以尝试添加全IP和全端口试下；常见问题排错指导3.SSL可以正常登录，但无法访问内网资源（APP资源或者IP资源）4）如果使用了IP资源（启用了路由模式），要注意检查服务器上是否有回包路由，可更换成SNAT模式试下；5）如果使用了IP资源，首先检查CSAppSupportClient进程是否存在，检查客户端虚拟网卡是否正常启用、是否获取到虚拟IP地址，检查路由是否下发到PC上；6）使用sinfortool工具卸载和重装控件，重装前将PC上的杀毒、防火墙全部关闭；常见问题排错指导4.客户端控件问题a.在客户端控件出现反复安装检查IE浏览器管理的加载项，是否SANGFORSSL有关的控件被禁用，确保启用这些控件；其次是所访问的设备的控件版本和PC端上控件版本号不对，一般情况下如果出现这种问题使用sinfortool工具将PC上的所有控件卸载，然后重新安装即可解决；b.控件无法安装，APP服务或者IP服务启用失败尝试将PC上的杀毒软件、防火墙等全部关闭或者退出再重新访问和安装控件，其次检查注册表是否被锁死、可以手动去读写注册表看是否成功，检查出并完整卸载掉相关锁死注册表的软件；在系统user权限下安装出了问题，检查权限提升服务SangforPromotionService进程是否运行，或者用管理员账号登陆系统访问下SSLVPN重新安装一次控件；常见问题排错指导4.客户端控件问题c.客户端安装控件后导致某软件无法使用ProxyIE控件可能与某软件存在冲突，使用sinfortool工具修复一下看是否能解决问题，如果确认有冲突联系深信服800技术支持处理。常见问题排错指导5.第三方认证的问题a.与LDAP结合认证的问题（常见MSLDAP和IBMLDAP两种）1）首先检查设备和LDAP之间的连通性，确认配置在设备上的LDAP服务器地址、端口、用户名、密码的正确性；2）更改LDAP服务器配置时管理员用户名的写法（admin\admin@sangfor.com\uid=admin,ou=admin,dc=sangfor,dc=com等几种方式）3）其次注意用户属性字段（sAMAccountName或者uid等）、用户过滤条件的写法等是否正确，可以使用LDAPbrowser等第三方软件从LDAP服务器上读取试下；常见问题排错指导5.第三方认证的问题b.与radius结合认证的问题1）首先检查设备和radius服务器之间的连通性，检查服务器上radius服务是否正常开启2）确认配置在设备上的radius服务器IP地址、共享密钥、认证端口、采用的协议是否与服务器相同3）检查和确认是否是标准的radius服务器常见问题排错指导6.其它常见问题a.Webagent无法更新成功确保设备可以上网访问webagent服务器，设备配置的DNS可以解析出webagent的域名；b.SSL外置日志中心问题首先检查日志中心版本是否和设备相对应，其次分别检查设备配置是否正确、外置日志中心的日志服务是否正常运行、服务器上是否开启了防火墙。常见问题排错指导常见问题排错指导c.快速传输协议启用失败检查设备端的udp443端口是否可以访问到，快速传输协议启用必须依靠该端口；如果前置部署了防火墙或者路由器，请检查是否有做udp443端口的映射到SSL设备。动动手1、尝试使用sinfortool工具在未访问SSLVPN和访问过SSLVPN（用户添加上APP资源和IP资源）后显示的已经安装的控件列表和系统的LSP，并对照显示控件和PPT上常见控件列表进行对比学习，加强了解；2、使用sinfortool工具将PC上的控件进行卸载操作、进行修复LSP操作；