SSL VPN——ssl vpn-client模式

一、组网需求

 如图所示，某公司内部有一台OA服务器，在外移动办公的工作人员需要通过SSL VPN客户端模式,拨入到公司内网来对内网服OA服务器进行访问。

二、网络拓扑

添加用户名：user1，密码 11111111

2）定义用户组

    菜单：设置用户--用户组--用户组：点击“新建”

        注意：如现场设备版本为5.2-R5.14.9639.P7-20180224或更高版本，请到安全策略--用户中执行如下操作；

3、sslvpn相关配置

      1）建立SSL VPN用户地址池

菜单： 防火墙--地址--地址， 点击“新建”

按如下方式添加sslvpn地址池

类型：选择 IP Range（必须选择IP Range ，不能选择subnet）

子网/IP范围：10.0.0.10-10.0.0.100

      2）SSL 参数配置

      菜单：虚拟专网--SSL--设置

      按如下方式配置

IP池： 定义分配给用户端的地址范围，一般会在SSL界面内定义的IP池。

服务器证书：一般使用自签名即可，企业也可以使用自有的“本地证书”。

登陆端口：SSL VPN的访问端口，默认为443，如果接口开启https服务端口会冲突，可以修改https 服务的管理端口或者修改该端口为其他端口，

如4430。

DNS服务器，WINS服务器：如果需使用域名来访问内部资源的时候，需要配置内部DNS。

      3）SSL 界面配置

菜单： 虚拟专网--SSL--界面，点击“新建”

可以针对不同的用户组定义不同的SSL界面，每个用户组分配的地址池，是否支持通道模式等，便于策略的控制。

名称： 自己定义，这里设置test。

主题:  登陆页面风格。

布局:  页面布局模型。

启用隧道模式： 选择该模式，客户端从防火墙上获得IP地址，与防火墙之间建立一个安全的VPN通道，来访问内部网络资源。

启用分隔隧道： 客户端只有访问内部资源的时候，才会将流量发往SSL VPN通道，其他网络流量依然通过本地连接，是有拨入vpn后依然统统本地网络访问互联资源。

内部网段需要在配置SSL VPN策略时候配置。

IP池: 定义分配各客户端的IP地址范围。选择sslvpnpool。

4、 配置SSL 策略

1）配置允许策略

配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节：

策略配置如下：

源接口： 用于接收SSL请求的接口

源地址： all，允许所有的ip进行SSL连接。

目的接口/区：需要通过SSLVPN访问的内网接口

目的地址：被访问的内部地址

动作： SSLVPN

配置SSL—VPN用户：勾选， 添加用户组和界面。 

2）SSL策略内添加用户，点击“添加”弹出如下框

       添加sslvpn相应的用户组、服务、以及界面portal

用户组：选择允许登陆vpn的用户组：选择sslvpngroup1 

服务：选择ALL

SSL-vpn Portal：为用户组分配一个ssl界面，选择test  

            点击确认完成策略配置如下：

3）添加OA服务器地址

配置详细过程请参照本节 3--1）部分  ，名称OAserver192.168.1.10，地址192.168.1.10/32

　　　  4）为通道模式的用户配置访问策略

只允许SSL用户通过隧道访问内网的OAserver192.168.1.10。

5、 配置路由

将ssl用户地址池路由表指向ssl.root接口

目的IP/子网掩码：10.0.0.0/24，为SSL用户地址池网段。

设备：选择ssl.root接口

其他默认，点击“确定”

五、配置SSL客户端

1、安装SSL VPN客户端

目前客户端支持32位和64位的WINDOWS操作系统。参加 VPN客户端--说明和安装及使用 章节。

2、新建建SSL-VPN连接

选择新建SSL VPN类型

3、输入用户名密码登陆

六、验证效果

可以通过在Pc上执行route print 命令来查看路由：

该路由条目为SSLvpn生成的路由表。

可以直接访问内网OA服务器，进行测试。