记一次防火墙关于vpn的实施分享
  

nihongliang 71511人觉得有帮助

{{ttag.title}}
本帖最后由 nihongliang 于 2017-4-8 22:27 编辑

sangfor中ipsecvpn的建立想必大家都觉得很简单对吧,总部webagent设置一下,再开个几个分支用户,然后分支连连连,vpn就建立起来了。但有时候客户会有一些其他的需求,比如这次的实施。

环境如下拓扑:


拓扑.jpg


现客户要求:
1.所有分支要建立到上海的vpn,访问vlan10和vlan20

2.某公司的服务器做了源地址白名单(已开通58.0.0.1和116.2.2.2),要求没有固定ip的分支通过总部去访问某公司,有固定ip的分支走本身公网地址访问。

3.上海总部有vlan30给领导特别使用(上非死不可,推特,youtube等等)ps:台北可以访问这些应用(万恶的资本主义)

4.上海总部及分公司有需求访问母公司的某个业务系统(10.0.0.1),现总部防火墙已有电信专线连到母公司总部(ps:总部网络不做任何更改)



解决:
1.第一个要求很简单,上海做总部,分支连进来,上海af上本地子网添加vlan10和20

2.这个要求adsl的分支通过总部访问某公司服务器,这里需要在vpn中将去往180.0.0.1的流量引到上海,在本地子网中添加一条路由180.0.0.1 255.255.255.255告诉分支,然后将vpntun新建一个三层区域,应用控制策略中放通道wan区域,再做一条vpntun的源地址转换(
目的ip组填某公司地址),这样可以满足分支访问某公司。但这里会有一个问题,这样做也会将台北去访问某公司的流量引过来,根据af的路由优先级(vpn路由>静态路由>策略路由>默认路由)台北的af没法通过本地的wan口去访问某公司。后来联系到400,接线的哥们也没碰过这种情况后来转了几次到专家那边,找到了解决办法。
ps:我们某公司是基于linux,那linux可以同时维护255张路由表,其中有一条local路由表,linux下用ip route show table 255或者table local都可以(大家可以下次在400进后台的时候敲下看看),这个表里的优先级是最高的,需要在这里添加一条去某公司的路由下一跳丢给af的wan口(这里有个注意点,linux命令添加后重启就失效了,需要在etc/rc2.d/s99local里面,添加保存下即可)  这里的操作都交给400吧,没权限进后台只能看看了,你只要知道怎么做就行了。

3.这条翻墙的需求,和上面分支访问某公司类似,用到了隧道间路由,将vlan30引导到台北分支,台北上面做源地址转换及应用控制策略放通(如果是sslvpn设备做一条代理上网即可)

4.所有分支及上海总部要通过专线访问母公司系统,af上添加一条静态路由去10.0.0.1下一跳给10.10.0.1,然后需要将所有vpntun流量做源地址转换到10.10.0.254去访问总部(和2相同的做法)

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

nihongliang 发表于 2017-4-6 23:11
  
本帖最后由 nihongliang 于 2017-4-7 14:37 编辑

大家看下,哪里有说错的地方,指正出来,我觉得大家肯定会碰到类似的问题
nihongliang 发表于 2017-4-6 23:15
  
本帖最后由 nihongliang 于 2017-4-7 14:28 编辑

2中的一些东西,我贴点图片出来给大家看看。
这个帖子介绍了一些关于策略路由、系统路由以及多线路的关系.
http://bbs.sangfor.com.cn/forum. ... 4613&highlight=

这里是看到路由表中有相同的,去往阿里云的路由,但local路由优先级最高所以会通过本身的wan口出去 ...

这里是看到路由表中有相同的,去往阿里云的路由,但local路由优先级最高所以会通过本身的wan口出去 ...
qinpeng 发表于 2017-4-7 00:20
  
没有休息哦
nihongliang 发表于 2017-4-7 14:31
  
具体的操作我就不贴图了,还是比较多的,不方便截图了。
JOVIO 发表于 2017-4-7 15:52
  
台资企业吧。
7情6欲 发表于 2017-4-7 16:50
  
排版看得有点累
JOVIO 发表于 2017-4-17 10:16
  
好长哦,看得累吧。
钟小华 发表于 2017-5-12 10:22
  
写的不错,受益匪浅,如果再将步骤详细一点就完美了
平凡的小网工 发表于 2022-3-7 10:28
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
干货满满
每周精选
技术咨询
标准化排查
自助服务平台操作指引
信服课堂视频
新版本体验
秒懂零信任
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人