Hillstone SCVPN调试说明

SCVPN调试说明 v2.1

Hillstone SCVPN调试说明

1 Secure Connect VPN介绍

为解决远程用户安全访问私网数据的问题，安全网关提供基于 SSL 的远程登录解决方案Secure Connect VPN，简称为SCVPN。SCVPN 功能可以通过简单易用的方法实现信息的远程连通。

Hillstone 山石网科多核安全网关的SCVPN 功能包含设备端和客户端两部分。配置了SCVPN功能的安全网关作为设备端，具有以下功能：

? 接受客户端连接；

? 为客户端分配 IP 地址、DNS 服务器地址和WINS 服务器地址； ? 进行客户端用户的认证与授权； ? 进行客户端主机的安全检测； ? 对 IPSec 数据进行加密与转发。

安全网关 SCVPN 的客户端工具为Hillstone Secure Connect。用户可以通过浏览器下载该客户端，然后将其安装到PC，连接设备端成功后，用户就可以通过SCVPN 功能安全的传输数据信息。

不同型号的安全网关默认情况下支持的同时在线最大 VPN 客户端数不同，如果想增加支持的客户端数，请向代理商购买相应的许可证。

1.1 SCVPN设备端配置

安全网关的 SCVPN 功能配置包括以下各部分： ? 地址池配置 ? UDP 端口号配置 ? SCVPN 实例配置

? 绑定 SCVPN 实例到隧道接口 ? 配置客户端 USB KEY 证书认证 ? 配置主机验证功能 ? 配置主机安全检测功能 ? 配置自动选择最优通道功能 ? 强制断开客户端 SCVPN 连接

详细配置说明，请参见《Hillstone山石网科安全网关使用手册》

Hillstone Networks, Inc.

1 SCVPN调试说明 v2.1

2 常见问题及解决方案

2.1 Client 与 server的通讯逻辑不匹配

原因分析

原因1：scvpn地址池中的地址和远端pc的本地网卡地址冲突

原因2：scvpn的tunnel 接口地址与scvpn pool 地址不在同一个网段 解决方法

修改Hillstone安全网关设备上scvpn pool的地址设置，尽可能不使用像192.168.1.0或192.168.0.0这类客户端常用的IP，来避免IP冲突

检查Hillstone安全网关设备上SCVPN的tunnel 接口地址是否和scvpn pool 地址在同一网段

2.2 服务器证书还没生效

原因分析

Hillstone安全网关的时间与SCVPN用户系统时间不匹配 解决方法

通过web 同步Hillstone安全网关的系统时间，把设备的时间调整正确，然后重启设备

如果还不行，请手动删除SCVPN用户PC上安装目录（如“C:\\Program Files\\Hillstone\\Hillstone Secure Connect\\cert”）下的所有文件，再尝试进行连接。

Hillstone Networks, Inc.

2 SCVPN调试说明 v2.1

2.3 设置tunnel接口失败

原因分析

SCVPN用户端创建的虚拟网卡在接受Hillstone安全网关下发的网卡参数时失败，一般是因为与其它软件（主

要是指杀毒软件或同类VPN客户端软件）写注册表或软件冲突原因造成

解决方法

建议检查当前您是否具有本地PC机的管理员权限，并检查杀毒软件是否有拦截 检查本地PC上是否安装了同类VPN客户端软件，并建议删除

请删除SCVPN客户端软件后，使用本地PC机管理员重新登陆VPN页面进行安装，在安装过程中如果有杀毒软件提示时请选择允许操作

2.4 处理IP设置消息失败

原因分析

解决方法

建议检查当前您是否具有本地PC机的管理员权限，并检查杀毒软件是否有拦截 检查本地PC上是否安装了同类VPN客户端软件，并建议删除

请删除SCVPN客户端软件后，使用本地PC机管理员重新登陆VPN页面进行安装，在安装过程中如果有杀

Hillstone Networks, Inc.

3 SCVPN客户端驱动安装异常

SCVPN调试说明 v2.1

毒软件提示时请选择允许操作

注：SCVPN常见是第3、4种错误提示，产生的原因主要是电脑上软件冲突引起，在SCVPN用户端上调试时会看如下类似错误信息.

2010.07.01 09:54:16 LOG_INFO [1556:1424]: Connect to 61.180.31.18 ... 2010.07.01 09:54:16 LOG_INFO [1556:1424]: SetupChannel pConn->init =0 2010.07.01 09:54:16 LOG_DEBUG [1556:1424]: InitSSL usb_key = 0

2010.07.01 09:54:16 LOG_INFO [1556:1424]: HostID = 9348af56835d02c285678d10690b2cf1 2010.07.01 09:54:16 LOG_INFO [1556:1424]: HOST_NAME = PC-200907081522 2010.07.01 09:54:17 LOG_INFO [1556:1424]: Authenticaton OK 2010.07.01 09:54:18 LOG_INFO [1556:1424]: Send client info OK

2010.07.01 09:54:18 LOG_ERR [1556:1424]: Could not get adapter index for \\DEVICE\\TCPIP_{DB071802-65EA-4B9C-B364-22849CA32AA3}

2010.07.01 09:54:18 LOG_ERR [1556:1424]: Get interface index failed 2010.07.01 09:54:18 LOG_INFO [1556:1424]: Close SSL channel 2010.07.01 09:54:18 LOG_INFO [1556:1424]: Delete routes OK 2010.07.01 09:54:18 LOG_INFO [1556:1424]: Close SSL channel OK 2010.07.01 09:54:18 LOG_ERR [1556:1424]: Send client paramters failed

当卸载SCVPN客户端失败时，可以通过修改注册表的方法强行删除，操作方法如下：（修改注册表有风险，建议慎用）

? 卸载SCVPN客户端

? 注册表里搜索“hssvc”字符串，一旦发现则删除之 ? 禁用主机AV的实时监控，安装SCVPN客户端 ? ? ? ?

? 自动重连

? 当SCVPN客户端设置为“自动连接”时，一旦发现了当前处于“断线”状态，那么将自动发起重连机制，

具体做法是每10分钟重连一次，一共尝试10次重连，如果10次重连后还是连接失败，那么将不再重连，除非用户手动连接

? 当SCVPN客户端没有设置 “自动连接”时，一旦发现了当前处于“断线”状态，那么将重连一次，重连的

处理与前面的做法是一致的，如果重连后还是连接失败，那么将不再重连，除非用户手动连接。

Hillstone Networks, Inc.

4

本文来源：https://www.bwwdw.com/article/kaeg.html