1 需求分析

  • 部分用户有内网环境需要登录SSLVPN的需求,但内网用户登录,如果使用以公网出接口建立的SSLVPN会产生一些问题,如连接不稳定、访问断续等,本案例会展示故障现象以及规避方案。

2 网络拓扑

3 SSLVPN实例配置

  • 网络–VPN–SSLVPN–新建。
  • 新建SSLVPN,以及选择AAA服务器,提供拨号使用的用户名及密码,具体如下图。

  • 接入接口选择公网出接口,并新建隧道接口和地址簿,用于拨号提供服务器地址以及下发虚拟地址。

  • 隧道路由配置便于SSLVPN用户可以直接访问到内网的资源。

  • 对象–用户–本地用户–新建可用的拨号用户,若是其他的服务器,连通性保障的情况下,用户名密码可直接使用。

  • 下图是隧道接口以及地址池的详细配置,地址池可根据需要下发DNS地址。

  • 以上都配置完成以后,SSLVPN客户端就可以尝试连接拨入了。

4 结果验证

【内网拨公网】

  • 下图是内网用户使用公网的地址做服务器拨号地址,拨号测试结果如下:
  • SSLVPN可以正常拨入,拨号成功之后,网络信息只有发送字节包,没有接收字节包,并且SSLVPN还会频繁连接断开,并且内网资源也都是无法访问的,测试结果如图所示:

【内网拨内网】

  • 接下来测试内网用户拨内网接口地址做服务器地址的SSLVPN,拨号测试结果一切正常。具体如下图:

【内网拨公网】

  • 分析对比可发现,内网用户拨内网接口和拨公网接口的区别只在于安全域,防火墙也是根据内外网安全域区分内外网环境的,因此可尝试将内外网接口协调成相同的安全域测试,测试结果如下:发现一切正常。下图是内外网接口不同安全域。

  • 下图是内外网接口相同安全域。

  • 协调成安全域一致后,内网用户拨公网地址做服务器地址,也可以正常拨入。

  • 数据也正常访问。

5 注意事项

  • 由此可知内网用户拨公网地址做服务器地址的SSLVPN,不可以跨安全域拨入,防火墙功能机制限制,会认为这种情况不安全。因此若客户内网环境有必须要拨公网地址连接SSLVPN时,需要该部分内网段所在内网接口安全域和出接口安全域协调一致