业务需求
企业网络如下图所示,防火墙单臂模式部署在核心交换机上,在不改变企业现有组网的情况下,在防火墙上部署SSL VPN业务,通过本地认证对接入的远程办公用户进行用户认证,通过认证的员工获得访问企业内部网络的权限。
现在希望默认认证域下的用户组group1中的用户user1可以获得一个内网地址,像在局域网中一样访问企业内网资源。
配置项 |
数据 |
说明 |
路由器(出口DNAT设备) |
公网地址:1.1.1.10,SSL VPN网关公网地址 DNAT转换地址:172.17.123.12,SSL VPN网关私网地址 内网地址:172.17.10.2 公网TCP/UDP端口:8443 私网TCP/UDP端口:8443 |
通过DNAT可以将外网用户访问1.1.1.10:8443的流量通过路由器转发给SSL VPN网关(防火墙)。 |
核心交换机 |
内网出口网关:172.17.10.1 防火墙网关:172.17.123.1 内网资源网关:10.2.0.1 到虚拟地址池网段(172.17.151.0/24)的明细路由,下一跳::172.17.123.12 |
不使用SNAT策略的情况,需要配置明细路由 |
网络接口 |
接口:Ge0/0(172.17.123.12),trust |
|
SSL VPN网关配置 |
手动配置地址:1.1.1.10:8443 接口:Ge0/0(172.17.123.12:8443) SNAT策略 |
核心交换机上未配置路由时需要配置SNAT策略 |
认证方式 |
本地认证 |
|
SSL VPN用户 |
用户组:group1 用户名:user1 密码:test@123 |
|
虚拟地址池 |
172.17.151.0/24 |
客户端登录成功后会从虚拟地址池中获得一个IP地址。其中,172.17.151.1作为防火墙虚拟地址不分配。 |
内网资源网段 |
10.2.0.0/24 |
客户端可访问的内网资源网段 |
配置限制与说明
虚地址池网段不能与防火墙物理接口地址段相同
前置条件
已配置内网资源且防火墙可以正常访问资源
内网资源到SSL VPN客户端地址池所在网段172.17.151.0/24路由可达
远程办公用户已安装RG-SSLVPN_Client_2.0客户端
出口设备(路由器)已配置对应的DNAT转换策略
核心交换机上配置了到虚拟地址池的明细路由(防火墙中未配置SNAT策略的情况)
为了使内网资源的响应报文可以正确通过核心交换转发到防火墙,需要在核心交换机上配置到虚拟地址池的 明细路由,或者在防火墙中添加SNAT策略,将访问请求报文的源地址由虚拟地址池转换为防火墙地址。推荐 使用配置明细路由的方法,因为SNAT策略会使内网服务器无法获得真实的用户地址。