背景信息
用户存在远程拨入运维请求,但未购买天翼云平台SSL VPN服务,可使用云下一代防火墙SSL VPN服务,该服务需单独配置。
前期准备
提供使用SSL VPN人员数量及人员账户信息。
配置流程说明
| 序号 | 子流程 | 配置内容 |
|---|---|---|
| 1 | 梳理VPN用户及登录密码 | 梳理内部登录权限 |
| 2 | 创建VPC地址池 | 【网络】-【VPN】-【SSL VPN】-新建 |
| 3 | 创建用户 | 【对象】-【用户】-【本地用户】-新建 |
| 4 | 创建隧道接口 | 【网络】-【接口】-【新建】,编辑安全域及对应地址和链接隧道 |
| 5 | 配置安全策略 | 确认需要进行过滤的访问对象,进行安全策略配置 【策略】-【安全策略】-【新建】,详细配置参考配置安全策略 |
配置内容
- 配置VPN地址池
打开【网络-VPN-SSL VPN-SSL VPN】,新建
新建-基本配置-起始IP、终止IP、掩码、DNS1
注:该地址池是用户拨入VPN后,用户可获取的VPN地址,必须与隧道接口中的地址在同网段,且不能覆盖。
- VPN用户配置
登录云墙,打开【对象-用户-本地用户-新建-用户】,输入名称、密码、确认密码。
本次配置信息:名称:test_user;密码:123
- 配置VPN安全域
打开【网络-安全域】,使用VPN安全域
- 新建SSL VPN隧道接口
打开【网络-接口】,新建-隧道接口
配置接口名称:tunnel10;安全域:VPNHub;IP地址配置:10.1.1.1/24
注 :该IP地址是用于VPN登录时的网关地址,一般默认是XX.XX.XX.1/24的地址。
该地址网段涉及到下面SSL VPN地址池的配置,请根据自身网络进行规划。
逆向路由:关闭,防止出现环路。
- 配置出向策略
SNAT配置:VPN地址池转换为防火墙接口地址
安全策略访问:VPN安全域——被转换接口安全域
VPN登录
配置完成后,在PC1的浏览器中输入https://IP:4433,并在弹出的登录页面输入用户名和密码,分别是“user_test”和“123”。点击“登录”后,页面弹出提示信息“此网站需要安装以下加载项:“Hillstone Networks,Inc.”中的''WebVPN.cab”...请单击这里"。鼠标右键单击此提示信息,并点击“为此计算机上的所有用户安装此加载项”。系统提示下载并安装Hillstone Secure Connect。安装完成后,
工信部ICP备案号:湘ICP备2022009064号-1
湘公网安备 43019002001723号
统一社会信用代码:91430100MA7AWBEL41
《增值电信业务经营许可证》B1-20160477