一、组网需求
如图所示,某公司内部有一台OA服务器,在外移动办公的工作人员需要通过SSL VPN客户端模式,拨入到公司内网来对内网服OA服务器进行访问。
二、网络拓扑
三、配置要点
配置防火墙
1、基本上网配置
2、配置用户
3、sslvpn相关配置
4、配置策略
5、配置路由
配置SSL客户端
四、配置防火墙
1、基本上网配置
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
2、配置用户
1)定义用户
菜单:设置用户--设置用户--设置用户:点击“新建”
添加用户名:user1,密码 11111111
2)定义用户组
菜单:设置用户--用户组--用户组:点击“新建”
添加用户组: sslvpngroup1,添加user1用户到该组。
3、sslvpn相关配置
1)建立SSL VPN用户地址池
菜单: 防火墙--地址--地址, 点击“新建”
按如下方式添加sslvpn地址池
类型:选择 IP Range(必须选择IP Range ,不能选择subnet)
子网/IP范围:10.0.0.10-10.0.0.100
2)SSL 界面配置
菜单: 虚拟专网--SSL--界面,点击“新建”
可以针对不同的用户组定义不同的SSL界面,每个用户组分配的地址池,是否支持通道模式等,便于策略的控制。
名称: 自己定义,这里设置test。
登陆信息: 可以自定义设置为所需提示信息。
主题: 页面风格,如蓝色,红色等。
启用隧道模式: 选择该模式,客户端从防火墙上获得IP地址,与防火墙之间建立一个安全的VPN通道,来访问内部网络资源。
启用分隔隧道: 客户端只有访问内部资源的时候,才会将流量发往SSL VPN通道,其他网络流量依然通过本地连接,是有拨入vpn后依然统统本地网络访问互联资源。
IP池: 定义分配各客户端的IP地址范围,用于隧道分割,选择sslvpnpool
允许每个用户多并发会话: 是否允许同一个账号,在同一时间并发使用。
3) SSL 参数配置
菜单:虚拟专网--SSL--设置
按如下方式配置
链接设置
监听接口:用户可以从该接口连接VPN,如wan1口。
监听端口:SSL VPN的访问端口,默认为443,如果接口开启https服务端口会冲突,可以修改https 服务的管理端口或者修改该端口为其他端口,
如4430。
限制访问: 对发起SSL链接用户的IP地址范围进行限制,一般选择 允许从任何主机接入。
空闲登出: 当VPN隧道内没有数据流量的时候,是否会自动登出VPN。默认为300秒。也可以选择从不登出。
服务器证书:一般使用Ruijie_local ,企业也可以使用自有的“本地证书”
要求客户端认证:是否要求对客户端进行证书认证,一般不选择。
隧道模式客户端设置:
地址范围:自动分配,系统则会使用预定义的 SSLVPN_TUNNEL_ADDR1,可以选择“特定自定义IP范围”
IP池: 定义分配给用户端的地址范围,一般会在SSL界面内定义的IP池。
DNS服务器,WINS服务器:如果需使用域名来访问内部资源的时候,需要配置内部DNS
认证/界面映射
点击“新建”,来为不同的用户组定义不同的portal界面。全部其他用户/组 为默认组,如果为设定,也需要设定。
4、 配置SSL 策略
1)配置允许策略
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
策略配置如下:
源接口: ssl.root
源地址: 分配给ssl vpn用户的ip地址,也可以选择all。
目的接口/区:需要通过SSLVPN访问的内网接口
用户/组: 用户所在的用户组,必选,需要与ssl vpn设置内 认证/界面映射 一致。。
目的地址:被访问的内部地址。 注意:当启用ssl vpn的隧道分割功能后, 目的地址不可以为all,需要写详细的目的IP,这些IP 会作为隧道分割的目的路由表,也就是防火墙会自动将 目的地址 的路由表注入的client的主机。 只有去往这些地址的数据,才会进入ssl vpn隧道。
动作: 允许
NAT: 一般不需要使用NAT。
5、 配置路由
将ssl用户地址池路由表指向ssl.root接口
目的IP/子网掩码:10.0.0.0/24,为SSL用户地址池网段。
设备:选择ssl.root接口
其他默认,点击“确定”
五、配置SSL客户端
1、安装SSL VPN客户端
目前客户端支持32位和64位的WINDOWS操作系统。参加 VPN客户端--说明和安装及使用 章节。
2、新建建SSL-VPN连接
选择新建SSL VPN类型
3、输入用户名密码登陆
六、验证效果
可以通过在Pc上执行route print 命令来查看路由:
该路由条目为SSLvpn生成的路由表。
可以直接访问内网OA服务器,进行测试。