标签归档:SSL

深信服VSSL管理员密码恢复的办法

对于硬件SSL VPN设备,可以通过U盘来恢复admin的密码,大概方法是将U盘格式化成FAT32分区,新建reset-password.txt文件,插入设备,重启设备,等设备重启完成后,拔下U盘查看是否生成reset-password.log文件,如果生成则恢复成功,有时候需要多试几次才会恢复成功。

但是对于VSSL,即虚拟化的VPN,截止最新的769R1版本,都不支持这种方式(虚拟机挂载U盘)来恢复密码。

如果要恢复VSSL的管理员密码,一般可以通过将VSSL的虚拟磁盘挂载到linux虚拟机上,然后查看ctrl_user.sfr,路径是/config/etc/sangfor/或者/sftmpfs/etc/sangfor/,这两个路径下的ctrl_user.sfr保存的密码是一样的,但是admin密码加密过了,可以联系深信服厂家人员解密。

配置备份文件里也会保存admin密码,如果有配置备份文件,也可以将配置文件交给深信服厂家获取admin密码。

深信服EMM修改用户接入域名的方法

现有一台EMM设备,7.6.8R1版本,使用awork标准版,有IOS和安卓的终端访问,目前使用https://a.abc.com:10443接入,现在想修改成https://b.abc.com:11443来接入访问,以下几处是需要修改的:
1、需要将移动设备管理的https://a.abc.com:441修改成https://b.abc.com:441,此处如果端口配置为其他端口,不使用441端口,那么出口设备也需要将此端口映射出去,比如配置成https://b.abc.com:10441,那么需要将VPN的10441端口映射到公网上。
2、需要修改应用商店地址,将应用商店地址https://a.abc.com:10443修改成https://b.abc.com:11443。
3、如果用户通过浏览器打开https://b.abc.com:11443无法下载awork,则需要在EMM设置那里重新封装awork,一般苹果终端会出现此问题,安卓终端一般即时不重新封装也可以正常下载。
4、如果之前导入的SSL证书是*.abc.com的证书,那么不用重新导入,如果之前导入的是a.abc.com的SSL证书,那么需要重新导入b.abc.com的SSL证书。
5、如果VPN设备的IP地址需要修改,比如从测试环境改至生产环境,那么要注意内网服务的IP是否需要修改,即资源是否需要修改。
6、如果并不是同一台设备的修改,比如以前是测试设备用在测试环境,现在是另一台设备用在生产环境,这是可以将测试设备的全局配置导入另一台设备,除了修改相关网络配置,IP地址、路由等等,还需要重新封装APP,重新发布至应用商店。
7、如果是此种全局配置导入的情况,由于两台VPN设备的VPNID相同,那么两台设备的应用封装从封装服务器上调用的页面是一样的,也就是封装的APP会覆盖另一台。这种情况需要进任意一台设备后台修改VPNID,但是被修改的这台VPN设备上的IOS企业证书都会丢失,需要重新导入证书,重新封装awork,重新封装APP再发布。

一般做到以上几点即可,另外在EMM设置处有awork下载地址的二维码,那里的下载地址一般只是域名不加端口,可以将其按照实际添加端口,如将https://b.abc.com修改成https://b.abc.com:11443,不过这里修改只会改变二维码,即使不修改也不会影响awork的正常接入使用。

HP ILO页面报错ERR_SSL_BAD_RECORD_MAC_ALERT的处理办法

现有一台HP DL380 G7服务器,ilo版本是ilo3,ilo口配置好后,无法正常打开ilo页面,ping ilo口是通的,并且telnet 80和443端口也是通的,浏览器打开http://ilo的IP会自动跳转到https://ilo的IP。

根据这个现象判断,网络是没有问题,但是页面无法打开,报错ERR_SSL_BAD_RECORD_MAC_ALERT,这个问题在所有HP服务器上都会出现,使用IE浏览器和google chrome浏览器都会报错。

解决这个问题的方法也很简单,至需要在浏览器internet选项中,不选中使用TLS 1.0、1.1、1.2,保留勾选使用SSL 2.0和3.0,然后即可正常打开ilo页面。

这个问题容易联想到DELL服务器的openmanage页面,有的页面也不能正常显示,更换其他浏览器或者切换浏览急速模式、兼容模式等也会正常打开openmanage页面。

深信服SSL界面危险操作一览表

汇总了一些会引起设备重启,服务重启,用户掉线、断网的界面操作。
在调试设备时,注意规避或提前做好准备。

 
产品线
主模块
一级子模块
二级子模块
对应操作
高危风险说明
SSL
系统设置
网络配置
部署模式
更新网口IP
在线VPN用户会断开,立即生效时会有提示
SSL
系统设置
网络配置
多线路
更改或删除IPSec多线路传输配置
重启所有服务,若配置错误可导致WAN口方向登录不上设备,需通过LAN口地址登录设备或者直连设备删除IPSec多线路配置恢复;立即生效时会有提示
SSL
系统设置
网络配置
多线路
更改或删除SSL多线路配置
重启SSLVPN服务。立即生效时会有提示
SSL
系统设置
网络配置
本地子网
更改或删除本地子网配置
重启IPSEC  VPN服务。立即生效无提示,直接重启DLAN服务;
SSL
系统设置
系统配置
日期与时间
更改时间配置/NTP设置(包括同步配置)
重启所有服务。保存时会有提示
SSL
系统设置
系统配置
外置数据中心
更改外置数据中心配置
重启所有服务。立即生效时会有提示
SSL
系统设置
系统配置
设备证书
更新设备证书
重启所有服务。立即生效时会有提示
SSL
系统设置
系统选项
接入选项
修改http/https端口或者启用禁用http端口
重启SSLVPN服务。立即生效时会有提示
SSL
系统设置
系统选项
接入选项
启用L2TP接入服务
自动关闭标准IPSEC VPN。启用按钮旁有备注,请仔细阅读
SSL
系统设置
系统选项
虚拟IP池
更改或删除虚拟IP池配置
重启虚拟IP分配服务,所有用户20S内无法获取虚拟IP,20S后恢复。立即生效时有提示
SSL
系统设置
系统选项
资源服务选项
修改web资源资源访问模式
重启SSLVPN服务。设备无提示,会直接重启svpn服务
SSL
系统设置
系统选项
资源服务选项
修改TCP资源资源访问模式
重启SSLVPN服务。设备无提示,会直接重启svpn服务
SSL
系统设置
系统选项
资源服务选项
修改L3VPN资源资源访问模式、修改高级设置参数/修改传输协议
重启L3VPN服务。设备无提示
SSL
系统设置
网络传输优化
传输优化
修改WEB服务压缩
重启SSLVPN服务,保存有提示;
SSL
系统设置
登录策略
登录策略
修改页面选择登录模板、启用虚拟门户
重启SSLVPN服务,点击立即生效有提示
SSL
系统设置
集群部署
集群部署设置
禁用集群
若分发器禁用集群,集群发生切换,SSL用户会掉线,IPSEC  VPN中断重连。若真实服务器禁用集群,调度给真实服务器的用户会掉线;禁用集群的时候,点击“保存”会提示重启服务
SSL
系统设置
分布式部署
分布式部署设置
禁用分布式部署
集群+分布式集群环境禁用分布式集群,会自动退出集群
SSL
SSLVPN设置
认证设置
证书与USB-KEY认证
更新内置或者外置CA证书
重启SSLVPN服务,点击立即生效有提示
SSL
SSLVPN设置
企业移动管理
移动设备管理
修改移动设备管理客户端接入地址
修改移动设备管理客户端接入地址,立即生效时会有提示;
SSL
SSLVPN设置
应用商店
设置
修改应用商店接入地址
重启SSLVPN服务,若配置错误awork接入之后在应用商店无法看到下发的APP。立即生效时会有提示;
SSL
IPSECVPN设置
基本设置
基本设置
修改IPSECVPN基本设置参数
重启IPSEC  VPN服务。点击确认有提示
SSL
IPSECVPN设置
连接管理
连接管理
修改IPSECVPN传输模式
重启IPSEC  VPN服务。点击确认有提示
SSL
IPSECVPN设置
虚拟IP池
虚拟IP池
修改IPSECVPN虚拟IP池配置
重启IPSEC  VPN服务。点击确认有提示
SSL
IPSECVPN设置
第三方对接
第三方对接
修改第一阶段、第二阶段配置
标准IPSEC会重连,修改哪个阶段就重连哪个阶段。设备无提示
SSL
IPSECVPN设置
第三方对接
安全选项
修改IPSECVPN安全选项配置
重启IPSEC  VPN服务。点击确认有提示
SSL
IPSECVPN设置
VPN接口
VPN接口设置
修改VPN内网接口设置以及本机VPN接口设置
重启IPSEC  VPN服务。点击确认有提示
SSL
防火墙设置
防DOS攻击
防DOS攻击
填写dos攻击内网防护网段,且内网网段列表添加不全或错误
导致内网断网,设备登录不了;设备无提示说明;
SSL
系统维护
重启/重启服务/关机
重启/重启服务
重启操作
重启所有服务
SSL
系统维护
备份配置/恢复
备份配置/恢复
导入配置
重启所有服务。设备有提示