Overview
Bài viết sẽ hướng dẫn các bước để khắc phục các sự cố kết nối SSL VPN Remote Access và truyền tải dữ liệu. Trước khi tiếp tục troubleshoot, bạn nên chắc chắn rằng SSL VPN Remote Access đã được định cấu hình chính xác.
Hướng dẫn
1.User SSL VPN Remote Access không thể kết nối.
Bước 1: Xác định User Portal có thể truy cập được hay không.
Đảm bảo rằng dịch vụ SSL VPN được chọn cho zone WAN trong Administration > Device Access.
Bước 2: Xác định Admin Port Setting.
Đảm bảo rằng người dùng SSL VPN đang truy cập Portal sử dụng cổng được cấu hình trong Administration > Admin Settings.
Bước 3: Kiểm tra Log SSL VPN từ Log viewer
Click Log Viewer và chọn filter là Log Comp và value là SSL VPN Client.
Hoặc bạn cũng có thể kiểm tra log bằng cách click chuột phải vào SSL VPN Client từ taskbar và chọn View Log.
Bước 4: Xác định rằng User đã áp dụng đúng SSL VPN Remote Access Policy.
Đi đến Authentication > Users và xác nhận rằng người dùng đã được áp dụng chính sách SSL VPN và được phép đăng nhập đồng thời (simultaneous logins) hai hoặc nhiều thiết bị cùng lúc, tránh trường hợp nếu người dùng đồng thời đăng nhập SSL VPN từ các thiết bị khác cùng một lúc.
Bước 5: Xác định SSL VPN authentication method.
Khi nhận được thông báo lỗi Auth-fail trong log, hãy xác minh phương thức xác thực trong Authentication > Services > SSL VPN Authentication Methods là Local nếu bạn không xác thực bằng User AD.
2.User SSL VPN không thể truy cập dữ liệu.
Bước 1: Xác định firewall rule.
Trong trường hợp SSL VPN kết nối thành công nhưng người dùng không thể truy cập với các tài nguyên được phép đằng sau tường lửa Sophos XG, hãy xác minh xem firewall rule có được cấu hình hay không. Nếu đã cấu hình hãy để any service và thử kết nối lại.
Bước 2: Xác định khả năng truy cập tài nguyên nội bộ.
Truy cập vào giao diện dòng lệnh (CLI) và chọn 4. Device Console. Xác minh rằng tài nguyên nội bộ có thể truy cập được từ chính tường lửa Sophos XG hay không.
Ví dụ: Bạn có thể ping một ip nội bộ từ bảng điều khiển của Sophos XG Firewall. Nếu bạn không thể ping thấy ip nội bộ này từ tường lửa Sophos XG, thì chúng sẽ không thể truy cập được từ phía các user SSL VPN qua cổng WAN.
Bước 3: Xác định mạng LAN nội bộ được phép truy cập từ xa.
Đảm bảo rằng các cổng vật lý của tường lửa Sophos XG không được phép có trong Permitted Network Resources (IPv4) trong phần VPN > SSL VPN (Remote Access) của Tunnel Access . Nếu có các port này, người dùng SSL VPN sẽ không thể truy cập vào mạng nội bộ, thay vào đó, hãy tạo IP Host/Network mới để người dùng SSL VPN truy cập.
SSL VPN thường xuyên khởi động lại.
Xác định rằng cổng WAN của tường lửa Sophos XG không có trong VPN > SSL VPN (Remote Access) > Tunnel Access > Permitted Network Resources (IPv4). Nếu nó cổng WAN, SSL VPN Client có thể ngắt kết nối thường xuyên.
Lưu ý: Phương án cuối cùng, nếu các cách trên không thành công hãy thử gỡ cài đặt SSL VPN Client và cài đặt lại.
