SSL VPN用户拨入VPN后通过SSL VPN访问部分网址案例
  

andy_AAAAA Lv7发表于 2015-11-3 16:14

本帖最后由 Sangfor_闪电回_小云 于 2015-12-3 11:51 编辑

SSL VPN用户拨入VPN后通过SSL VPN访问部分网址以及
IPSEC VPN分支通过总部访问部分网址案例

用户需求场景:
用户在XXX云平台租用了服务器,出于安全考虑,做了IP访问限制,只允许总部的固定公网IP地址访问,其余IP地址不允许访问。客户想达到效果:SSL VPN用户拨入VPN能访问XXX云服务,分支机构连通ipsecVPN之后通过总部访问XXX云平台服务器。

网络环境:
SSL VPN网关部署,分支公司IPSECVPN网关部署、移动用户SSL VPN拨入访问。

配置步骤:

移动用户拨入访问

配置方式:

第一步:新建用户
SSL VPN设置---》用户管理---》新增用户
图片1.png

第二步:配置资源
SSL VPN配置---》资源配置----》新增L3VPN资源,将需要从SSL VPN出去的公网域名/IP地址填入
图片2.png
图片3.png
如果是以域名方式访问,需要配置【内网域名解析】
系统设置---》SSL VPN选项---》内网域名解析,确保此处添加的DNS能解析资源里面的域名。
图片4.png

第三步:新建角色
SSL VPN设置----》角色授权---》新增,新增一个角色将需要通过SSL VPN访问的用户和对应的资源关联起来;
图片5.png

第四步:检查资源服务选项
这里有二个种资源访问方式,选择不同配置将有所不同。
如果选择第一种方式:使用设备的IP地址作为源地址;就无需配置其他地方只要确保SSL VPN本身能上网即可。
图片6.png

如果选择第二种方式:使用分配的虚拟IP地址作为源地址;还需要配置虚拟IP的NAT(代理上网),确保用户获取虚拟地址后从SSL VPN端上网的时候设备能做数据转发,否则虚拟IP无法出公网导致用户访问失败。
图片7.png

NAT配置(如果设备单臂部署就需要在出口防火墙上面配置):
图片8.png
至此配置完成。

分支IPSEC VPN用户访问:

配置方式:

第一步:总部分支IPsecVPN正常配置连通,具体IPSEC VPN连通配置此处不再累赘;

第二步:指定数据走向

在分支设备上新增隧道间路由,将去往XXX云平台的地址段走VPN用户隧道;
图片9.png

然后在总部设备配置代理分支上网的策略(NAT)。
图片10.png
至此配置完成,分支即可通过总部访问XXX云平台资源。


SSL VPN用户拨入VPN后通过SSL VPN访问部分网址以及IPsecvpn通过总部访问部分网址案例..pdf

469.03 KB, 下载次数: 129

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Sangfor_闪电回_小狒 发表于 2015-12-5 11:26
  
楼主解释的很详细!分别介绍了SSL用户和IPSEC分支通过固定IP或域名去访问资源的配置步骤,很有用
新手460537 Lv0发表于 2016-3-29 22:37
  
我的案例跟此案有一点相同,总部有一个SSL设备,分支有一个mig设备,两者建立深信服vpn,全国各地有ssl移动用户拨入ssl,我们的需求是:分支的服务器能够通过ipsec通道调用全国各地的ssl用户的接口;
老丁爸 Lv1发表于 2016-7-28 01:46
  
不走L3VPN更好 tcp资源稳定 安全性更好
重庆师范大学の Lv2发表于 2017-6-14 14:43
  
学习了