VPN部署场景——高校图书馆SSL VPN配置案例

目录

一、高校图书馆SSLvpn配置案例

 1、组网需求

2、配置要点

3、配置步骤 

---

 

一、高校图书馆SSLvpn配置案例

 1、组网需求

       某高校有一台RGFW-1600系列防火墙放置于互联网出口，拓扑如下图：

现需求通过组建sslvpn web代理模式和隧道模式以实现：

       1.web代理模式：能访问http://lib.xxxx.edu.cn（位于校园网内）该网址，并通过该网址跳转到校外的中国知网等互联网及校园网地址（目标地址不固定，为all）

       2.在web代理的模式下，实现用学校防火墙出口ip访问目标网站资源，可实现互联网受限文档的查阅下载。

       3.隧道模式：访问校园网内部固定IP地址段的服务器server-2，同时隧道模式下启用隧道分割，客户端获取明细路由，访问非校园网络时步骤sslvpn隧道

2、配置要点

1.sslvpn 界面设置：web代理模式下，目标地址为all，同时隧道模式下又要启用隧道分割，则不能在一条sslvpn界面里同时启用web代理模式及隧道模式（目标地址为all，无法启用隧道分割，防火墙会报错）：需添加两条sslvpn界面，这里添加redirect为web代理模式的       sslvpn；添加redirect1为隧道模式sslvpn；

       2. 防火墙 sslvpn策略设置：建立两条sslvpn防火墙策略，一条匹配web代理模式sslvpn，一条匹配隧道模式sslvpn；

            a. web代理模式和隧道模式的源地址均来自互联网，均为all

            b.web代理模式sslvpn策略：既要访问内网，也需访问互连网，则目标端口为all，目的地址也为all；

            c. 隧道模式sslvpn策略：目标端口为防火墙连接校园网的端口，目标地址为server-2；

            d.由于这里有两条sslvpn策略，且源地址相同，为了避免sslvpn流量匹配出错，需用认证用户进行区分：user1用于web代理模式登录，user3用于隧道模式登录；

3、配置步骤 

 1、基本上网配置

             配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节：

        2、配置用户

             1）定义用户

             菜单：设置用户--设置用户--设置用户：点击“新建”

添加用户名：user1，密码 11111111用于web代理登录；user3，密码11111111，用于隧道模式登录

  2）定义用户组

             菜单：设置用户--用户组--用户组：点击“新建”

       添加用户组: sslvpngroup1,添加user1用户到该组；添加sslvpntunnel， 添加user3用户到该组

3、sslvpn相关配置

      1）设置sslvpn

      菜单：虚拟专网--SSL--设置

      按如下方式配置

IP池：代理模式不需要配置

             服务器证书：一般使用自签名即可，企业也可以使用自有的“本地证书”。

             登陆端口：SSL VPN的访问端口，默认为443，如果接口开启https服务端口会冲突，可以修改https 服务的管理端口或者修改该端口为其他端口，

             如10443。

             DNS服务器，WINS服务器：如果需使用域名来访问内部资源的时候，需要配置内部DNS。

      2）SSL 界面配置

             菜单： 虚拟专网--SSL--界面，点击“新建”

a. 建立web代理模式的sslvpn界面redirect

category：分类名称

             名称：服务器名称

             类型：HTTP/HTTPS

             Location:登录地址，此处填写http://lib.xxxx.edu.cn

             SSO：是否开启单点登录

             b.建立隧道模式的sslvpn界面redirect1

4、 配置SSL 策略

            1）配置sslvpn策略

                          策略配置如下：

           a. web代理模式策略设置

       源接口： 用于接收SSL请求的接口

            源地址： all，允许所有的ip进行SSL连接。

            目的接口/区：需要通过SSLVPN访问的内网、外网接口

            目的地址：被访问的目标地址，由于需访问互联网内容，此处为all

            动作： SSLVPN

            配置SSL—VPN用户：勾选， 添加用户组和界面。 

          

            SSL策略内添加用户，点击“添加”弹出如下框

       添加sslvpn相应的用户组、服务、以及界面portal

用户组：选择允许登陆vpn的用户组：选择sslvpngroup1 

            服务：选择ALL

            SSL-vpn Portal：为用户组分配一个ssl界面，选择redirect

            点击确认完成策略配置如下：

b.隧道模式策略设置

       源接口： 用于接收SSL请求的接口

            源地址： all，允许所有的ip进行SSL连接。

            目的接口/区：需要通过SSLVPN访问的内网口port1

            目的地址：被访问的目标地址，此处为server-2

            动作： SSLVPN

            配置SSL—VPN用户：勾选， 添加用户组和界面。

            SSL策略内添加用户，点击“添加”弹出如下框

       添加sslvpn相应的用户组、服务、以及界面portal

用户组：选择允许登陆vpn的用户组：选择sslvpntunnel 

            服务：选择ALL

            SSL-vpn Portal：为用户组分配一个ssl界面，选择redirect1

            点击确认完成策略配置如下：

5、隧道模式其他配置

      1）.隧道模式添加普通防火墙策略

只允许拨号用户访问内网的server2地址

       2）隧道模式添加路由

 目的IP/子网掩码：172.18.210.0/24，为SSL用户地址池网段。

             设备：选择ssl.root接口

             其他默认，点击“确定”

   6、功能验证

            1）使用user1登录sslvpn 的web界面，访问http://lib.xxxx.edu.cn

页面显示欢迎xx学校， 说明已成功实现防火墙sslvpn代理，并实现用防火墙出口IP访问目标网站

  2）用user3账号登录客户端，访问内网资源

客户端获取到的明细路由