SANGFOR SSL VPN常见问题排错指导培训内容 培训目标svpntool工具的使用方法1.了解svpntool工具的作用2. 掌握使用svpntool工具查看，卸载和注册SANGFOR SSL控件，修复系统LSPSSL常见问题排错指导1.常见SSL问题的排错思路2.了解SSL各控件的名称和作用3.掌握SSL登陆页面无法打开或者打开登录页面很慢的排错思路4.掌握可以登录SSL，但无法访问内网资源的排错思路5.掌握常见的SSL控件问题的排错思路和解决办法6.掌握SSL设备与第三方认证服务器结合的问题排错思路7.掌握其他常见问题的排错思路SVPNTOOL工具的使用方法SSL VPN常见问题排错指导深信服公司简介动动手SANGFOR SSLSVPNTOOL 工具的使用方法SVPNTOOL工具的作用和使用方法svpntool工具的作用1、svpntool工具是专门用于SANGFOR SSLVPN客户端控件的查看、安装、卸载等操作，可以帮助我们对客户端安装的控件进行完全的卸载，或者是重新安装以解决某些时候客户端控件的问题，也可以帮助我们在客户端访问SSL VPN有问题的时候来作为一个判断的手段。2、svpntool工具上分两个功能按钮，分别是快速修复和专家调试。通过“快速修复”将清理电脑上的所有SSL 控件；通过“专家调试”可查看已安装的SSL VPN控件、查看和修复系统LSP、启用debugview。1. 通过任意一台5.0及以上版本的SSL设备手动输入如下地址下载：http:/10.10.2.85/com/win/svpntool.zip （10.10.2.85为SSL设备的IP地址）svpntool工具下载地址解压svpntool工具下载方式2. 通过任意一台5.0及以上版本的SSL设备客户端登录页面下载：http:/10.10.2.85或者https:/10.10.2.85 （10.10.2.85为SSL设备的IP地址）Svpntool 快速修复功能双击 快速修复功能用于客户端电脑无法登陆SSL VPN时，卸载电脑上的SSL 控件。 通过快速修复功能，客户端电脑卸载和重新安装控件，排除控件问题导致的登陆失败。 通过专家调试功能查看已安装的SSL控件，对已安装的控件选择性的卸载，安装；查看和修复系统LSP；启用Debugview功能定位故障原因。Svpntool 专家调试查看已经安装的SANGFOR SSL控件可查看到已经安装的SSL控件名称和各个控件的功能说明。卸载指定的SANGFOR SSL控件选择需要被卸载的控件安装指定的SANGFOR SSL控件（注册dll类型的文件）刷新查看是否安装成功查看，卸载和修复系统LSP某些情况下，如果安装SSL控件的LSP导致系统出现问题，可尝试修复系统LSP到初始状态。SANGFOR SSL控件的LSP卸载SANGFOR 控件的LSP恢复LSP到初始状态 启动Debugview打开Debugview界面后，再访问SSL登录页面，或者通过SSL VPN访问资源页面，可通过Debugview的记录找到故障原因。SSL VPN常见问题排错指导常见问题排错指导问题处理思路一般SSL VPN的问题可以分为两类，客户端PC或者是设备端配置的问题。在处理问题时最重要的一点是，必须先判断出问题是出在客户端还是设备端，然后对应问题进行解决，而不是毫无目的去查找问题和处理问题。1） 首先判断是所有客户端都打不开登录页面还是某部分PC上打不开登录页面；常见问题排错指导1. SSL登录页面无法打开2） 如果是所有客户端都打不开，则需要检查设备端的设置。如果SSL设备单臂部署，检查前端FW端口映射是否80或者443没有做映射，设备默认的443和80端口是否被做过修改等。如果SSL设备网关模式部署，则检查从内网是否可以通过SSL设备的LAN口的80和443端口登录；电脑直连SSL设备的WAN口，是否可以打开登录页面，初步分析是网络原因还是由于设备无法提供服务引起的。1. SSL登陆页面无法打开3） 如果只有部分PC打不开登录页面，则问题出在客户端，需要具体检查PC的情况。如网络不通，本地防火墙杀毒软件的限制，本地IE浏览器设置问题或者是PC上安装的一些浏览器插件的问题所导致；常见问题排错指导检查客户端是否可以正常访问外网，检查PC是否可以访问其它的SSL网站（如网上银行），关闭PC上的防火墙或者杀毒软件，清空IE浏览器缓存、恢复IE默认配置、检查IE是否做了代理设置，使用svpntool工具卸载和重装SSL控件。2. SSL打开登录页面很慢常见问题排错指导3）尝试清除IE插件（使用一些第三方软件去检测IE插件并清除掉）；2）检查本地IE浏览器的安全设置，尝试恢复一下默认配置；检查IE浏览器的代理是否有相关配置，尝试去掉代理的配置；1）检查网络速度是否很慢，最好检测一下从PC到设备端出口位置的丢包延时情况，看访问慢是否与网络有关；3. SSL可以正常登录，但无法访问内网资源（TCP应用或者L3VPN类型的资源）1）检查SSL设备本身能否访问到内网资源，尝试将设备的内网IP配置到PC上，用PC去尝试一下看能否访问到，如果PC也访问不到需要检查内网路由设置或者是服务器是否做了什么限制、服务器是否开启相关的服务等；2）如果使用了域名资源，需要在客户端使用ping测试一下是否解析出正确的IP地址（不需要PING通）；3） 检查访问内网资源的IP和端口是否添加完整，可以尝试添加全IP和全端口试下；常见问题排错指导3. SSL可以正常登录，但无法访问内网资源（ TCP应用或者L3VPN类型的资源）4） 如果使用了L3VPN资源（且启用了路由模式），要注意检查服务器上是否有到虚拟IP池网段的回包路由，可尝试把资源访问模式换成“使用设备的IP地址作为源地址”再访问；5） 如果使用了L3VPN资源，首先检查CSAppSupportClient进程是否存在，检查客户端虚拟网卡是否正常启用、是否获取到虚拟IP地址，检查路由是否下发到PC上；6）使用svpntool工具卸载和重装控件，重装前将PC上的杀毒、防火墙全部关闭；常见问题排错指导4. 客户端控件问题常见问题排错指导a. 客户端出现控件反复安装1）检查IE浏览器管理的加载项，是否SANGFOR SSL有关的控件被禁用，确保启用这些控件；2）其次是所访问的设备的控件版本和PC端上控件版本号不对。一般情况下如果出现这种问题使用svpntool工具将PC上的所有控件卸载，然后重新安装即可解决；b. 客户端安装控件后导致某软件无法使用ProxyIE控件可能与某软件存在冲突，使用svpntool工具修复一下看是否能解决问题，如果确认有冲突联系深信服400技术支持处理。4. 客户端控件问题常见问题排错指导c. 控件无法安装，TCP服务或者L3VPN服务启用失败尝试将PC上的杀毒软件、防火墙等全部关闭或者退出再重新访问和安装控件，其次检查注册表是否被锁死、可以手动去读写注册表看是否成功，检查出并完整卸载掉相关锁死注册表的软件；在系统user权限下安装出了问题，检查权限提升服务Sangfor PromotionService进程是否运行，或者用管理员账号登陆系统访问下SSL VPN重新安装一次控件；客户端控件问题排查汇总：常见问题排错指导1、关闭所有IE浏览器，把杀毒软件等可能限制插件安装的安全软件退出。2、用sinforstool工具删除所有已安装的SSL插件，如果为WIN7右击sinforstool以管理员权限打开，sinforstool功能在VPN用户登录界面有下载链接。3、右击系统自带的IE浏览器【属性】，在【安全】选项卡调整IE安全级别为“中”或“中低”，保证有权限安装插件，在必要的时候可以重置一下IE，具体位置在【程序】，点击“重置”，如图：4、打开SSLVPN登录界面，点击登录框正下方的“手动安装组件”，下载名为instAll.exe的手动安装包到桌面，若没有这个链接请在IE里输入https:/ip/com/instAll.exe（4.X或之前的SSLVPN版本），关闭IE之后，确保操作系统有安装插件的权限，再双击instAll.exe安装包进行安装（WIN7系统建议右击以管理员身份打开），期间提示是否允许安装BrowserHelperObjcet等提示框等，请选择允许。SSL5.0以上版本控件下载地址为：https:/ip/com/install.exe常见问题排错指导客户端控件问题排查汇总：5、重新打开IE浏览器（一定要是系统自带IE），若为WIN7操作系统，只支持SSLVPN4.21或以上版本，使用WIN7系统建议右击IE浏览器选择“以管理员身份”打开，（如果为64位操作系统，在“开始”“程序”，选择一个不带64位的IE浏览器打开，或是在IE安装目录下找到32位的IE浏览器，用32位的IE登录SSLVPN）6、要注意所在局域网是否有使用代理，如果有使用代理，请在【连接】选项卡【局域网设置】【高级】，在例外里排除通过VPN要访问的服务器地址（非SSLVPN登录地址）常见问题排错指导客户端控件问题排查汇总（注意事项）：1、SSL5.0版本之前只支持IE内核浏览器，5.0以上版本开始支持firefox、chrome等非IE内核浏览器。2、SSL从4.21r1版本开始支持WIN732位系统。3、SSL支持WIN764位的版本有4.21r2、4.3r1、5.0r1及以上版本。4、SSL从4.3r1版本开始支持IE代理环境，只支持访问APP（TCP）资源。5、SSL从5.0版本开始支持linux、Mac系统。6、MacOS：Mac系统默认自带Java虚拟机，我们不提供单独的Java虚拟机安装包。如果Java虚拟机版本低于1.5，您可以通过Mac系统自身的软件更新系统更新Java虚拟机5. 第三方认证的问题常见问题排错指导3）检查服务器类型，用户属性字段（sAMAccountName或者uid等）、用户过滤条件是否正确，使用LDAP browser等第三方软件从LDAP服务器上读取试下。a. 与LDAP结合认证的问题（常见MS LDAP和IBM LDAP两种）1）首先检查设备和LDAP之间的网络连通性，是否有相应到达的路由。2）确认配置在设备上的LDAP服务器地址、端口、用户名、密码的正确性。点击“搜索入口“，是否可以读取LDAP服务器中的组织结构。如果读取不成功，则换一个有读取LDAP组织结构的账号或更改LDAP服务器配置时管理员用户名的填写方式（ adminsangfor.com 或cn=admin,dc=sangfor,dc=com）5. 第三方认证的问题常见问题排错指导3）检查和确认是否是标准的radius服务器。b. 与RADIUS结合认证的问题1）首先检查设备和radius服务器之间的网络连通性，检查服务器上radius服务是否正常开启。2）确认配置在设备上的radius服务器IP地址、共享密钥、认证端口、采用的协议是否与服务器相同。常见问题排错指导6. 结合httpwatch解决发布HTTP应用访问异常问题1、httpwatch简介httpwatch是一款强大的网页数据分析工具，集成在InternetExplorer工具栏，包括网页摘要、Cookies管理、缓存管理、消息头发送/接受、字符查询、POST数据和目录管理功能、报告输出等功能，它是一款能够收集并显示网页深层信息的软件。它不用代理服务器或一些复杂的网络监控工具，就能够显示网页，同时显示网页请求和回应的日志信息，甚至可以显示浏览器缓存和IE之间的交换信息。2、httpwatch下载、安装和启动可以网上探索httpwatch进行下载安装，启用步骤如下：启动httpwatch，从IE的“查看”“浏览器栏”“httpwatch”启动httpwatch。如左图所示。常见问题排错指导6. 结合httpwatch解决发布HTTP应用访问异常问题3、httpwatch功能栏简介和操作步骤1、Record点击”Record”（记录）按钮开始录制Http请求操作2、Stop点击”Stop”按钮停止录制Http请求操作3、Clear点击”Clear”按钮,清除所有录制内容4、Summary点击”Summary”按钮,显示或隐藏所有请求信息概述常见问题排错指导6. 结合httpwatch解决发布HTTP应用访问异常问题4、结合httpwatch解决实际问题案例1：访问某个网页慢通过httpwatch比较速度，定位现象及慢的元素及访问阶段。最后一行为打开完整网页花费总时间，之前各行为打开各网页元素消耗的时间，柱状条的不同颜色代表不同阶段消耗的时间。通过httpwatch定位是加载哪个网页或元素耗时比较长后，确认SSL配置，如资源IP是否添加完全，域名能否正常解析等。常见问题排错指导6. 结合httpwatch解决发布HTTP应用访问异常问题案例2：访问某个网页异常，页面显示不全通过httpwatch进行分析：URL：http:/www.500wan.com/Result200：访问该URL返回的Htpp状态代码结果200，表示请求成功DisplayURL：请求的URL，http:/www.500wan.com/StartedAt：访问的时间2011-Nov-0615:24:09.196(localtime)DNSLookup：域名解析，本例中解析的是www.500wan.comConnect：连接的IP地址是119.147.113.20（解析没有问题）HttpRequest：Http请求，浏览器向Web服务器发出的请求信息HttpResponse：Http响应，浏览器接受到web服务器返回的信息通过httpwatch定位是加载哪个网页或元素不成功，确认SSL配置，如资源IP是否添加完全，域名能否正常解析等。b. SSL外置日志中心问题首先检查日志中心版本是否和设备相对应，其次分别检查设备配置是否正确、外置日志中心的日志服务是否正常运行、服务器上是否开启了防火墙。常见问题排错指导7. 其它常见SSL问题a. Webagent无法更新成功确保设备可以上网访问webagent服务器，设备配置的DNS可以解析出webagent的域名；常见问题排错指导 c. 快速传输协议启用失败 检查设备端的UDP 443端口（默认端口）是否可以访问到，快速传输协议启用必须依靠该端口。 如果前置部署了防火墙或者路由器，请检查是否有做UDP443端口的映射到SSL 设备。动动手1、尝试使用svpntool工具在未访问SSLVPN和访问过SSLVPN（用户添加上TCP应用资源和L3VPN资源）后显示的已经安装的控件列表和系统的LSP，加强了解；2、使用svpntool工具将PC上的SSL控件进行卸载操作、进行修复LSP操作；www.sangfor.com.cn