记一次VPN登录后，无法访问内网资源的排查经历

记一次VPN登录后，无法访问内网资源的排查经历

问题描述

在使用SSL VPN登录之后，遇到了无法访问特定内网资源的问题。具体表现为无法通过ping命令或telnet到指定端口与目标服务器建立连接。此问题并非持续存在，而是间歇性出现，重启电脑并未能解决问题。

排查过程

此文旨在为自己找到解决办法梳理一个排查思路，希望能够帮到遇到同类问题的网友们。

初步诊断

联系了SSL VPN厂商寻求帮助，得到的建议是可能存在软件冲突，但没有具体的排查步骤，仅建议逐一卸载软件重试或考虑重装系统，连排查思路都没有。这种缺乏指导性的建议未能有效推进问题解决。

技术分析

为了找到更有效的解决方案，决定从网络配置入手进行自我排查。首先，DOS窗口通过route print命令查看本机路由表信息，发现需要访问的内网资源地址段对应接口字段信息均为169.254.27.19。

来自GPT解释如下：

接口 (Interface): 169.254.27.19 是本机上用来发送数据包到目标地址192.168.202.XX的网络接口的IP地址。值得注意的是，169.254.x.x范围内的地址是APIPA（Automatic Private IP Addressing）自动私有IP寻址的一部分，通常是在计算机无法获得动态IP地址（如DHCP服务器不可用时）自动生成的地址。这可能意味着你的计算机未能正确地从DHCP服务器获取IP配置，或者正在使用点对点连接。

总结来说，系统有一个直接路由到单个主机192.168.202.XX，并且这个路由是通过接口169.254.27.19进行通信的，而没有经过任何网关。如果169.254.27.19是你计算机的唯一IP地址，那么这可能是一个配置问题，因为你通常希望有一个有效的静态或动态分配的局域网IP地址（例如，在192.168.x.x范围内），而不是APIPA地址，除非你在特定的情况下有意使用APIPA地址。

定位问题

到这里大概怀疑是这个地址可能不正确导致，于是找同事在正常的电脑上查了一下路由表信息，发现对应接口地址是192.168.204.3，而不是APIPA地址

再在我的电脑上DOS窗口通过ipconfig命令查看ip地址发现以太网适配器 VMware Network Adapter VMnet1网卡上的地址正是192.168.204.3

感觉是VMware相关，本机上唯一相关的就是有一个VMware Workstation Pro，查看它的虚拟网络配置器，果然VMnet1设置的网段地址为192.168.204.0/24

到这里基本上判断定位到问题原因了，就是因为VMware Workstation Pro虚拟网络配置器VMnet1应用的网段地址为192.168.204.0/24，与VPN要用到的地址在一个网段，地址冲突导致。

解决方案

对VMware Workstation Pro虚拟网络配置器VMnet1应用的网段地址修改为其他地址段，如修改为192.168.20.0/24

完成上述修改后重新登录VPN，再次查看路由表信息确认接口地址已正常

测试内网资源地址也可以正常访问，自此问题解决。

排查总结

通过SSL VPN登录后无法访问特定内网资源问题，经深入分析，发现是由于本地安装的VMware Workstation Pro创建了与VPN所需地址段冲突的虚拟网络接口（VMnet1）。这导致系统尝试通过错误的接口（具有APIPA地址169.254.27.19）与内网资源通信，而非通过正确的局域网IP地址。通过调整VMware Workstation Pro的虚拟网络配置器中VMnet1所用的网段地址，避免了与VPN地址池的冲突。修改后，再次登录VPN并检查路由表，确认通信接口已恢复正常，随后成功访问内网资源。

本文由博客一文多发平台 OpenWrite 发布！