一、组网需求

 如图所示,某公司内部有一台OA服务器,在外移动办公的工作人员需要通过SSL VPN客户端模式,拨入到公司内网来对内网OA服务器进行访问。

   

二、网络拓扑

          

          

   

三、配置要点

 

     配置防火墙

       1、基本上网配置

       2、配置用户

       3、sslvpn相关配置

       4、配置策略

       5、配置路由

       配置SSL客户端

 

四、配置防火墙

 1、基本上网配置

             配置详细过程请参照 路由模式典型功能--单线上网--静态地址线路上网配置一节:

        2、配置用户

             1)定义用户

             菜单:对象配置--用户对象:点击新建 , 添加本地用户,用户名:user1,密码 11111111。

             image.png

            image.png

            image.png

            image.png

            image.png

             2)定义用户组

             菜单:对象配置--用户分组对象,点击新建

                 image.png

     添加用户组: sslvpngroup1,添加user1用户到该组。

      image.png 

3、sslvpn相关配置

      1)建立SSL VPN用户地址池

             菜单: 对象配置--IP地址对象, 点击新建

             按如下方式添加sslvpn地址池

                 image.png

             类型:选择 IP范围(必须选择IP范围 ,不能选择子网)

             子网/IP范围:10.0.0.10-10.0.0.100

    

      2)SSL 界面配置

             菜单: 网络配置--SSL-VPN门户,点击新建

                 image.png

             可以针对不同的用户组定义不同的SSL界面,并分别设置每个用户组分配的地址池,是否支持通道模式等,便于策略的控制。

                 image.png

名称: 自己定义,这里设置test。

启用隧道模式: 选择该模式,客户端会从防火墙上获得IP地址,与防火墙之间建立一个安全的VPN通道,来访问内部网络资源。

启用隧道分割: 客户端只有访问内部资源的时候,才会将流量发往SSL VPN通道,其他网络流量依然通过本地连接进行访问。

源IP池: 定义分配各客户端的IP地址范围,用于隧道分割,选择sslvpnpool

限制用户一次使用一个SSL-VPN连接:是否允许每个用户多并发会话,开启后一个用户账号只允许建立一个VPN连接,不允许同一账号在同一时间并发使用。

Web模式:

门户信息: 可以自定义设置为页面需要提示的信息。

主题:  页面风格,如蓝色,红色等。

显示信息SSL页面显示的信息,可选择显示会话信息、连接器、登录历史、书签等。可预定义显示的书签。

 

      3) SSL 参数配置

      菜单:网络配置--SSL-VPN设置

      按如下方式配置

            image.png

     连接设置

             监听接口:用户可以从该接口连接VPN,如wan1口。

             监听端口:SSL VPN的访问端口,默认为443,如果接口开启https服务端口会冲突,可以修改https 服务的管理端口或者修改该端口为其他端口,如4430。

             限制访问: 对发起SSL链接用户的IP地址范围进行限制,一般选择 允许从任何主机接入。

             空闲登出: 当VPN隧道内没有数据流量的时候,是否会自动登出VPN。默认超时时间为300秒。也可以选择从不登出。

             服务器证书:一般使用Ruijie_local ,企业也可以使用自有的“本地证书”

             需要客户端证书:是否要求对客户端进行证书认证,一般不开启。

 

     隧道模式客户端设置

             地址范围:自动分配,系统则会使用预定义的 SSLVPN_TUNNEL_ADDR1,可以选择“指定自定义IP范围”来指定将特定地址范围内的IP地址分配给客户端。

             IP池: 定义分配给用户端的地址范围,一般选择SSL界面内定义的IP池。

             DNS服务器,WINS服务器:如果需使用域名来访问内部资源的时候,需要配置内部DNS

 

    认证/界面映射

              点击“新建”,来为不同的用户组定义不同的portal界面。全部其他用户/组   为默认组,如果未设定其Portal,也需要进行设置。

    image.png

4、 配置SSL 策略

             1)配置允许策略

             配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:

             菜单:策略配置--IPv4策略,策略配置如下:

                 image.png

        

            流入接口: ssl.root

            流出接口:需要通过SSLVPN访问的内网接口

            源地址: 选择分配给ssl vpn用户的ip地址(也可以选择all)和 用户所在的用户组(必选,需要与ssl vpn设置内 认证/界面映射 中的用户组一致)。

            目的地址:被访问的内部地址。 注意:当启用ssl vpn的隧道分割功能后, 目的地址不可以为all,需要写详细的目的IP,这些IP 会作为隧道分割的目的路由表,也就是防火墙会自动将 目的地址 的路由表注入的client的主机。 只有去往这些地址的数据,才会进入ssl vpn隧道。

            动作: 接受

            NAT: 一般不需要使用NAT。 

           

5、 配置路由

            网络配置--静态路由,新建静态路由,将ssl用户地址池路由表指向ssl.root接口

                image.png

           目的IP/子网掩码:10.0.0.0/24,为SSL用户地址池网段。

           设备:选择ssl.root接口

           其他默认,点击确定

 

五、配置SSL客户端

1、安装SSL VPN客户端

目前客户端支持32位和64位的WINDOWS操作系统。参加 VPN客户端安装--说明和安装及使用 章节。

 

2、新建建SSL-VPN连接

选择新建SSL VPN类型

           image.png

     3、输入用户名密码登陆

           image.png

 

六、验证效果

          可以通过在Pc上执行route print 命令来查看路由:

              image.png  

          该路由条目为SSLvpn生成的路由表。

          可以直接访问内网OA服务器,进行测试。