背景信息
用户存在远程拨入运维请求,但未购买天翼云平台SSL VPN服务,可使用云防火墙(原生版)N100型实例的SSL VPN服务,该服务需单独配置。
前期准备
提供使用SSL VPN人员数量及人员账户信息。
配置流程说明
| 序号 | 子流程 | 配置内容 |
|---|---|---|
| 1 | 梳理VPN用户及登录密码 | 梳理内部登录权限 |
| 2 | 创建VPN地址池 | 【网络】→【VPN】→【SSL VPN】→新建 |
| 3 | 创建用户 | 【对象】→【用户】→【本地用户】→新建 |
| 4 | 创建隧道接口 | 【网络】→【接口】→【新建】,编辑安全域及对应地址和链接隧道 |
| 5 | 配置安全策略 | 确认需要进行过滤的访问对象,进行安全策略配置 【策略】→【安全策略】→【新建】,详细配置参考配置安全策略 |
配置内容
1.配置VPN地址池
打开【网络→VPN→SSL VPN】,单击“新建”,进入SSL VPN配置页面。
配置名称/接入用户:
配置“接入接口/隧道接口”:
新增地址池:新建-基本配置-起始IP、终止IP、掩码、DNS1。
注意该地址池是用户拨入VPN后,用户可获取的VPN地址,必须与隧道接口中的地址在同网段,且不能覆盖。
隧道路由配置:
2.VPN用户配置
登录云墙,打开【对象→用户→本地用户】,单击“新建 > 用户”,输入名称、密码、确认密码。
3.配置VPN安全域
打开【网络→安全域】,使用VPN安全域。
4.新建SSL VPN隧道接口。
打开【网络→接口】,单击“新建 > 隧道接口”。
配置接口名称:tunnel10;
安全域:VPNHub;
IP地址配置:10.1.1.1/24。
注意该IP地址是用于VPN登录时的网关地址,一般默认是XX.XX.XX.1/24的地址。
该地址网段涉及到下面SSL VPN地址池的配置,请根据自身网络进行规划。
逆向路由:关闭,防止出现环路。
5.配置出向策略。
SNAT配置:VPN地址池转换为防火墙接口地址。
安全策略访问:VPN安全域(被转换接口安全域)。
VPN登录
-
配置完成后,在PC1的浏览器中输入https://IP:4433,并在弹出的登录页面输入用户名和密码,分别是“user_test”和“123”。点击“登录”后,页面弹出提示信息“此网站需要安装以下加载项:“Hillstone Networks,Inc.”中的“WebVPN.cab”...请单击这里"。
-
鼠标右键单击此提示信息,并点击“为此计算机上的所有用户安装此加载项”。系统提示下载并安装Hillstone Secure Connect,下载链接:https://www.hillstonenet.com.cn/support-and-training/hillstone-secure-connect/。
-
安装完成后,安装SSL VPN拨号客户端,填写相应信息进行拨号后,即可访问内网业务,其中SSL VPN拨号客户端由云防火墙(原生版)工程师提供。
- 服务器地址:指本配置的VPN地址,具体内容由本单位管理员提供。
- 端口:指本配置的端口地址,具体内容由本单位管理员提供,默认为4433。
- 用户名:指本配置的用户信息,具体内容由本单位管理员提供。
- 密码:指本配置的密码信息,具体内容由本单位管理员提供。
