- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath F1000-VPN综合安全网关 用户FAQ-5W102-整本手册.pdf (328.45 KB)
H3C SecPath VPN综合安全网关
用户FAQ
|
Copyright © 2023-2025 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
未生成根证书或设备证书的有效时间超出根证书有效时间。重新生根证书或设备证书。
为什么重启设备后客户端可以ping通VPN综合安全网关,但管理页面和相关服务启动不了?
用户系统https://VPN综合安全网关IP:9494,访问web资源时支持上传下载文件吗?
两台VPN综合安全网关配置IPSEC连接,本端内部子网和对端内部子网配置注意事项?
使用安全管理员创建管理员后该管理员登录失败,提示框提示内容为空
管理系统第一次登录提示验证码错误,第二次登录进入主页后直接退回登录页?
升级到E6101P01版本,登录管理员,弹出警告无位置填写密码,该怎么办?
配置卸载后,使用红莲花浏览器首次访问卸载资源,页面排版错乱,该怎么办?
H3C SecPath VPN综合安全网关用户FAQ
本文档介绍H3C SecPath VPN综合安全网关产品的用户常见问题及解答。
VPN综合安全网关包括7个千兆以太网电口及4个千兆以太网光口。
设备主控板上有7个10/100/1000BASE-T自适应以太网电口、4个1000BASE-KX以太网光口、2个USB接口和1个Console接口。
VPN综合安全网关支持3种扩展卡槽,包括:
· 8个千兆以太网电口。
· 4个千兆以太网电口和4个千兆以太网光口。
· 2个万兆以太网光口。
不支持。
未接入双电源产生的告警声音。
使用系统管理员登录管理页面,在登录后跳转的运行状态主页右下角进行查看系统版本。
SSL VPN支持64位的Windows 7/8/10/11客户端,支持移动Android8以上客户端,支持ARM /aarch64架构的国产银河麒麟、UOS系统客户端、x86架构的系统以及MIPS架构的系统。
在平台上打开终端命令窗口,输入uname -a查看当前终端的系统架构,根据架构下载对应版本的客户端进行安装使用。
(1) 用户PC安装有杀毒软件,被杀毒软件阻拦。
(2) 用户PC缺少Windows运行库。
(3) 用户PC为32位系统。
(1) 安装前关闭杀毒软件再进行安装。
(2) 到官网下载相应的运行库进行安装。
(3) 目前不支持32位的windows客户端,待后续升级。
(1) 用户PC没有安装VPN客户端。
(2) 用户PC的8090和433端口被其他服务占用。
(1) 安装VPN客户端,可以在https://管理地址:8181 页面进行下载。
(2) 检查用户PC 8090和433端口是否被其他程序占用,关闭该服务,重启keyserver进程。
可能的原因:
(1) VPN客户端到VPN外网接口,网络不通。
(2) VPN客户端网络配置配置有误。
(3) VPN上该用户没有绑定相应L3VPN的资源。
(4) VPN上根证书或者设备证书过期或者异常。
对应的解决方式:
(1) 检查客户端到VPN外网接口的IP和端口连通性。
(2) 检查VPN客户端网络配置是否正确。
(3) 为用户绑定至少一个L3VPN资源。
(4) 重新更新根证书和设备证书。
可能的原因:
(1) 资源配置错误:配置的资源网段不正确。
(2) 网络错误:VPN综合安全网关与资源不能互通。
(3) 映射配置错误:映射的网口没有配置或者配置错误。
(4) 虚拟网卡未开启:对应的虚拟网卡TCP端口未开启,或未点击生效。
(5) 服务未能正常启动:加密卡调用失败。
(6) 资源存在问题:资源本身无法访问。
(7) 没有权限:未给该用户分配资源。
(8) 证书过期或者不可用。
(9) 系统时间与真实时间有较大差距。
(10) VPN综合安全网关证书更新。
(11) 用户PC安装有其他厂商VPN客户端。
对应的解决方法:
(1) 配置正确的路由地址和掩码长度。
(2) 调通网络。
(3) 重新配置映射,选择正确的网口。
(4) 开启对应的虚拟网卡,并生效配置。
(5) 关闭设备,拔掉电源,长按电源键充分放电后重启。
(6) 调试资源服务器。
(7) 管理页面SSLVPN设置-用户管理,选中用户所在管理组,点击编辑,在关联资源处勾选资源。
(8) 重新生成根证书和设备证书。
(9) 以系统管理员身份登录VPN综合安全网关后,选择系统设置 > 系统配置 > 时间与日期,在这里更改系统时间。
(10) 删除C:\SLink\pem下的所有证书,客户端网络配置点击保存后重新登录客户端以自动获取新的用户证书证书。
(11) 卸载其他厂商VPN客户端。
客户端登录方式有用户名登录和USB Key登录,从安全性的角度来说,用户名登录的方式是纯数据形式的身份校验, 而USB Key登录方式为数据+硬件密码设备的组合,安全性较高。
可能的原因:
(1) VPN中的时间与当前登录客户端的终端系统差距过大。
(2) VPN中使用的证书已过期。
(3) VPN中使用的证书有更新。
对应的解决方式:
(1) 可调整不正确的设备时间。
(2) 需重新签发相应证书。
(3) 客户端界面中点击设置,然后点击保存,此操作可重新从VPN中拉取证书。
可能的原因:
(1) 网络部署没有添加默认网关。
(2) VPN加密服务未生效。
(3) 两台VPN系统时间不一致。
(4) 根证书或者设备证书过期或者异常。
(5) 未导入对方根证书。
对应的解决方式:
(1) 系统设置-部署模式下是否添加了默认网关。
(2) 关闭VPN综合安全网关,拔下电源待设备充分放电(拔了电源之后,一直按电源按钮,能听到设备电源报警,待没有报警表示已放电完成)后开机。
(3) 系统设置 > 系统配置 > 时间与日期,查看系统时间与现实时间是否一致,若不一致则调整系统时间。
(4) 重新生成根证书及设备证书(IPSEC)。
(5) 证书管理>可信证书列表页面上传对端CA证书。
VPN综合安全网关关机过程中可能出现卡住的情况,具体表现为可以ping通却无法访问,出现这种情况时可继续等待或长按电源键关闭设备再开启即可。
因VPN综合安全网关部分硬件的特殊性,不建议进行重启的操作,有需要时可以通过关闭设备,拔下电源,长按电源充分放电后再开机的方式实现VPN综合安全网关的重启。
使用用户系统访问,web资源是做过代理,需要看被代理的网站开发时使用的资源下载路径。网站间不兼容的情况很多,web资源不建议使用用户系统进行上传下载。
SSLVPN用户示例模板文件中的USB-KEY字段可以通过用户绑定USB Key实现批量用户绑定USB Key。但是该表头“key类型”字段中的USB Key类型需要和注释中的USB Key厂商名称保持一致,若实例文件中未出现实际使用的USB Key厂商,需联系H3C技术支持人员确认该USB Key厂商的适配情况。
若只需要导入用户不需要绑定USB Key,则最后两列数据为空即可,表头不可删除。
两台VPN综合安全网关配置IPsec的子网网段不可相同,否则会出现子网间设备通信异常的问题。
查看是否同时打开多个VPN客户端程序,若同时运行多个客户端会出现登录成功却无法访问资源的情况。关掉其他客户端程序,仅保留一个客户端程序后再访问资源。
管理员创建步骤未完全结束,该管理员未生成管理员证书。可编辑该管理员,更新管理员证书。
如果是非安全管理员的密码忘记了,使用安全管理员登录设备将该遗忘密码的管理员从设备删除。而后至新华三官网在F1000-VPN E6101版本路径下载skfhtml工具,按照工具包中解锁pin码步骤文档进行pin码的设置。然后使用安全管理员登录设备后重新添加该管理员即可。
如果是安全管理员的密码忘记了,需要联系H3C技术支持人员处理。
设备管理员USB-Key输错15次会被锁定,无法再次尝试登录,可至新华三官网在F1000-VPN E6101版本路径下载skfhtml工具,按照工具包中解锁pin码步骤文档进行pin码的解锁。如若忘记密码,参照上一条处理。
在系统设置->系统配置->控制台配置的host白名单中添加对应的外网地址和端口后可以正常访问。
管理系统与用户系统无法再同一个浏览器中同时使用,检查浏览器中是否同时打开了用户系统,若打开了用户系统,需重启浏览器再访问管理系统。
可能是浏览器版本问题,需要清除缓存刷新页面后,可正常使用。
原因可能与USB Key驱动在红莲花浏览器下的兼容性有关,此时手动刷新一下即可。
原因是JS组件加载出错,刷新页面即可正常使用。
当系统产生执行失败的异常日志时,页面右上角才会有标有异常日志数量的图标显示,异常日志是指操作日志管理页面结果显示执行失败的日志,包括但不限于备份恢复失败,认证失败等。
可能的原因:
(1) 存在延迟,备机还未绑定上虚拟ip。
(2) 备机SSL服务未正常启用。
对应的解决方式:
(1) 在客户端设备ping虚拟ip,看能否访问通,能ping通的话,重新进行客户端登录操作。
(2) 用系统管理员登录管理系统,进入虚卡管理页面。点击<虚卡生效>,重启SSL服务后尝试重新登录。
支持
