最近帮助一家公司做网络维护,公司的防火墙是飞塔的,做了一些配置,对防火墙和访问策略有了进一步熟悉。
配置信息:固件版本200B,os版本4.0
再看看接口信息。
可以看到,port15是外网接口,port9是内网接口。
看下面这一段策略设置:
可以看到有线网(Wired),无线网(Wireless),无线网访客(Wireless-Guest)都可访问外网(Wired-port15),并且Wired和Wireless可访问内网所有网段(Wired-port9),以及三者的相互访问,但是Wireless-Guest没有直接访问内网权限(Wireless-Guest-port9)。并且内网port9对外网port15只公开192.168.1.0/255.255.255.0网段。
再看下面一段配置
这部分访问策略控制了外网对内网的访问。
可以看到域名的映射:
域名123.sharpower.cn,ip为106.38.65.38,映射内网192.168.1.68,即为192.168.1.0网段内服务器,符合上面port9-port15的访问策略。
再说说我碰到的问题。
搭建一个隧道通信的ssl-vpn,即所有内网外网的通信只在隧道内实现。
按理说策略是WAN-Tunnel-LAN ,即为port9-ssl.root-port15。
但是无法通信。
通道分割策略需要设置路由,这里ssl.root设置为10.0.1.0,虚拟ip范围为10.0.1.1-10.0.1.10。
挂载vpn之后ppp0e的ip为10.0.0.1,是虚拟ip,这里没有问题,但是无法ping通192.168.1.1。
网上寻找教程,发现隧道模式是在web模式扩展即可。
正常连接vpn。
访问内网服务器。
我的理解应该是我当时搭建策略时多了源地址为ssl-vpn-user,可能限制了ip访问,造成无法通信,并且lan-wan端口的策略已经配置好,我增加了lan-ssl.root-wan,应该是多余的。