若要了解动态IP,通过域名映射的方式,来实现,可官网查阅sk131612/sk103440
moblie access 配置
1、打开防火墙对象,启用Mobile Access功能
忽略不连接到域
随便创建个本地账户名密码
配置拨号后获取的 DNS 服务器 IP
配置 SSL 模式为 Network Mode only。也可默认自适应
由于 SSL VPN 默认端口为 443, 与防火墙web 管理端口冲突,需要修改防火墙web
管理端口为4434
VPN策略配置
7.2.1 点击 Mobile Access 策略,会跳转到另一个客户端。
定义本地应用,Range_192.168.0.0 是预先新建的对象,由于本地应用不能直接调用
Network对象,因此只能通过Range 对象表示整个网段
配置完本地应用后,需要再配置策略进行调用。把向导自动新建的 World Clock 删
除,更改为刚才创建的Tes-vpnt本地应用。该策略表示IT用户组的用户拨号后,能访问192.168.0.0
网段的所有地址。
配置日志记录,建议是把日志记录修改为 All access events 记录所有事件。上述所
有配置完成后,点击Save 保
拨号上网
IPSEC 配置
endpoint客户端的连接方式配置
endpoint下载连接链接:https://pan.baidu.com/s/1mFzsHvsHARu4KGg1aWGTyA
提取码:r9pn
双击进去开启防火墙的IPSEC模块,勾选开启
设置感兴趣流(可到达的内网IP范围)
如果防火墙在一个NAT设备后面,link selection这里就要填上一个公网ip
允许所有user使用隧道IP
可以使用较快的加密算法,也可以使用默认
然后写好一条VPN策略,把允许访问的用户组和VPN 团体给加到相应位置,下发策略
接下来就是使用endpoint连接测试效果的时候了。
如果是在内网虚拟机的环境下使用,要用内网IP做GW及SMC的管理口和外网口,那么记得设置好,如果smc与GW的接口internal\external不对应的话,site to site 肯定建立不成功