1 需求分析
- 部分用户有内网环境需要登录SSLVPN的需求,但内网用户登录,如果使用以公网出接口建立的SSLVPN会产生一些问题,如连接不稳定、访问断续等,本案例会展示故障现象以及规避方案。
2 网络拓扑
3 SSLVPN实例配置
- 网络–VPN–SSLVPN–新建。
- 新建SSLVPN,以及选择AAA服务器,提供拨号使用的用户名及密码,具体如下图。
- 接入接口选择公网出接口,并新建隧道接口和地址簿,用于拨号提供服务器地址以及下发虚拟地址。
- 隧道路由配置便于SSLVPN用户可以直接访问到内网的资源。
- 对象–用户–本地用户–新建可用的拨号用户,若是其他的服务器,连通性保障的情况下,用户名密码可直接使用。
- 下图是隧道接口以及地址池的详细配置,地址池可根据需要下发DNS地址。
- 以上都配置完成以后,SSLVPN客户端就可以尝试连接拨入了。
4 结果验证
【内网拨公网】
- 下图是内网用户使用公网的地址做服务器拨号地址,拨号测试结果如下:
- SSLVPN可以正常拨入,拨号成功之后,网络信息只有发送字节包,没有接收字节包,并且SSLVPN还会频繁连接断开,并且内网资源也都是无法访问的,测试结果如图所示:
【内网拨内网】
- 接下来测试内网用户拨内网接口地址做服务器地址的SSLVPN,拨号测试结果一切正常。具体如下图:
【内网拨公网】
- 分析对比可发现,内网用户拨内网接口和拨公网接口的区别只在于安全域,防火墙也是根据内外网安全域区分内外网环境的,因此可尝试将内外网接口协调成相同的安全域测试,测试结果如下:发现一切正常。下图是内外网接口不同安全域。
- 下图是内外网接口相同安全域。
- 协调成安全域一致后,内网用户拨公网地址做服务器地址,也可以正常拨入。
- 数据也正常访问。
5 注意事项
- 由此可知内网用户拨公网地址做服务器地址的SSLVPN,不可以跨安全域拨入,防火墙功能机制限制,会认为这种情况不安全。因此若客户内网环境有必须要拨公网地址连接SSLVPN时,需要该部分内网段所在内网接口安全域和出接口安全域协调一致
声明:本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长,进行删除处理。本网站所有内容未经授权请勿转载。本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报。