我有一个 Juniper SSG5 防火墙,用于远程站点的 VPN,并且使用 Shrew Soft VPN 客户端从我的办公室连接到该站点。
如果我从远程站点的 LAN 连接到 Juniper 的 Web GUI 或 SSH,则没有任何问题。但是,如果我尝试通过 VPN 连接到 Juniper 的 Web GUI 或 SSH,它没有响应。
更多细节:
- 通过 VPN 对 Juniper 进行 ping 操作正常。
- VPN 本身似乎运行正常 - 我可以连接到远程 LAN 上的其他设备(例如,我可以连接到其他设备之一并通过 SSH 返回 Juniper)。
- 在 Juniper 设备上执行全部调试没有任何显示(调试 ike 也没有),但是,我知道办公室里的机器正在通过 VPN 路由连接尝试,因为我可以在允许 VPN 连接到网络的策略日志中看到这些尝试。
- 上面提到的日志显示我的所有连接尝试都“关闭 - AGE OUT”(除了 ping,它工作正常)。
- 所涉及的所有接口都具有 Web GUI 和 SSH 启用。
- 我没有在设备上设置任何 IP 访问策略。
我认为问题可能与 MTU 有关,因此降低了 Juniper 接口上的 MTU 并从 Web GUI 中删除了 SSL,但这没有帮助(但在 1500 MTU 下 ping 可以,所以我认为这意味着 MTU 不是问题?)。
我不太清楚它为什么没有响应。我找不到任何关于 VPN 连接不允许管理员访问的信息,也看不到任何启用/禁用 VPN 管理员访问的设置。
我认为可能相关的另一件事是我为我的 VPN 配置了以下设置:
unset ike policy-checking
有人有主意吗?
提前致谢!
答案1
由于某种原因,从基于策略的 VPN 切换到基于路由的 VPN 解决了该问题。