背景信息
用户存在远程拨入运维请求,但未购买天翼云平台SSL VPN服务,可使用云下一代防火墙SSL VPN服务,该服务需单独配置。
前期准备
提供使用SSL VPN人员数量及人员账户信息。
配置流程说明
| 序号 | 子流程 | 配置内容 |
|---|---|---|
| 1 | 梳理VPN用户及登录密码 | 梳理内部登录权限 |
| 2 | 创建VPC地址池 | 【网络】→【VPN】→【SSL VPN】→新建 |
| 3 | 创建用户 | 【对象】→【用户】→【本地用户】→新建 |
| 4 | 创建隧道接口 | 【网络】→【接口】→【新建】,编辑安全域及对应地址和链接隧道 |
| 5 | 配置安全策略 | 确认需要进行过滤的访问对象,进行安全策略配置 【策略】→【安全策略】→【新建】,详细配置参考配置安全策略 |
配置内容
1.配置VPN地址池
打开【网络→VPN→SSL VPN】,进行新建。
新建-基本配置-起始IP、终止IP、掩码、DNS1。
注意该地址池是用户拨入VPN后,用户可获取的VPN地址,必须与隧道接口中的地址在同网段,且不能覆盖。
2.VPN用户配置
登录云墙,打开【对象→用户→本地用户→新建→用户】,输入名称、密码、确认密码。
本次配置信息:名称:test_user;密码:123(此名称密码为示例)。
3.配置VPN安全域
打开【网络→安全域】,使用VPN安全域。
4.新建SSL VPN隧道接口。
打开【网络→接口】,新建→隧道接口。
配置接口名称:tunnel10;
安全域:VPNHub;
IP地址配置:10.1.1.1/24。
注意该IP地址是用于VPN登录时的网关地址,一般默认是XX.XX.XX.1/24的地址。
该地址网段涉及到下面SSL VPN地址池的配置,请根据自身网络进行规划。
逆向路由:关闭,防止出现环路。
5.配置出向策略。
SNAT配置:VPN地址池转换为防火墙接口地址。
安全策略访问:VPN安全域(被转换接口安全域)。
VPN登录
1.配置完成后,在PC1的浏览器中输入https://IP:4433,并在弹出的登录页面输入用户名和密码,分别是“user_test”和“123”。点击“登录”后,页面弹出提示信息“此网站需要安装以下加载项:“Hillstone Networks,Inc.”中的“WebVPN.cab”...请单击这里"。
2.鼠标右键单击此提示信息,并点击“为此计算机上的所有用户安装此加载项”。系统提示下载并安装Hillstone Secure Connect,下载链接:https://www.hillstonenet.com.cn/support-and-training/hillstone-secure-connect/。
3.安装完成后,安装SSL VPN拨号客户端,填写相应信息进行拨号后,即可访问内网业务,其中SSL VPN拨号客户端由云下一代防火墙工程师提供。
服务器地址:指本配置的VPN地址,具体内容由本单位管理员提供;
端口:指本配置的端口地址,具体内容由本单位管理员提供,默认为4433;
用户名:指本配置的用户信息,具体内容由本单位管理员提供;
密码:指本配置的密码信息,具体内容由本单位管理员提供。
