记一次EMM翻车测试
  

贝叶枫影 发表于 2019-8-22 12:05

本帖最后由 贝叶枫影 于 2019-8-22 12:05 编辑

一、客户需求
    某某客户出口使用的是SSL VPN,目前通过拨入Easyconnect,然后打开OA系统APP,实现数据加密传输;但是针对这种操作,客户认为过程比较繁琐,希望能够打开OA系统APP时能够自动拉起VPN,以实现数据的加密传输。
二、需求分析
   根据客户需求,向客户推荐使用EMM应用封装功能,封装OA系统的原始的APK文件,实现打开封装后的APP,自动拉起VPN,进行数据加密传输。
三、配置步骤
   1、对EMM设备进行单臂模式不是,实现其基本上网功能(插曲:为什么一定要满足EMM设备上网功能呢???因为EMM应用封装APK文件时需要上传到sangfor云端服务器进行证书封装,所以需要联网才能完成封装过程。)

电脑端IP配置

电脑端IP配置

完成单臂部署

完成单臂部署
2、添加安卓/IOS证书(注:这里安卓证书,设备上已经有所集成,故不需要再进行添加(“SSL VPN设置--EMM--应用封装--设置--Android Keystore”可以进行查看或者重新导入);而IOS证书,需要到IOS相应官网申请(参考:https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=7894&highlight=))
3、在EMM--应用封装中进行“新建”操作,选择原生态的apk文件(一般在应用宝等下载就可以)(这里忘记做截图了,所以借用了文档截图)。

APK应用封装

APK应用封装
975385d5d0fa0379bf.png
4、应用商店发布APP(这里也借用了文档图片,当时激动的只记得配置,忘记截图了)
566685d5d11228bf80.png
499725d5d113e86e49.png
5、配置应用商店模块(继续借用)
969315d5d11966a46e.png
6、VPN基础配置
包含用户组及用户的创建、资源的发布及角色的关联(注意:资源发布,截止当前最新标准版本M7.6.6R1,只能发布TCP资源)。
7、结果测试
用户通过网页输入公网映射地址,拨入VPN,下载aWORK,输入对应的用户名和密码,然后到应用商店下载封装过的APP,实现打开APP自动拉起VPN功能。(此处不再截图)

四、跳坑大分析
1、关于EMM应用封装问题
客户网络分为内部网络和公网网络,EMM最终要部署到内部网络,不能上网又该如何实现应用封装呢(因为应用封装需要跟云端服务器联动才可以)???  机智如我,果断选择在公网网络先进行应用封装,然后再把已经通过封装的EMM设备部署到内网网络。
2、关于EMM部署问题
上节讲到EMM已经在公网环境进行了应用封装,本想这下直接单臂部署到内部网络就可以打完收工了,结果,结果部署之后发现外网手机死活都是无法拨入VPN的,这又是个什么情况呢?
首先,确定手机外网与客户内部网络的外网是否可通,因为本身客户这个网络出口就是SSL VPN设备,所以外网网络连通性是完全没有问题的;
其次,怀疑是不是EMM到出口的数据被中间天融信的防火墙给阻断了,特意查看了防火墙日志,显示确实有对EMM访问数据的阻断,惊喜,问题这么容易就找到了,于是高高兴兴做了一条EMM与外网之间的全放通测试,结果,结果依然无法通过外网访问EMM,怎么办,继续排查吧。。。
再次,既然测试手机网络与外网是连通的,那有没有可能是端口映射或者EMM设备路由配置问题呢,由于都是深信服的SSL VPN设备,保证配置没有问题这点,还是有足够信息的,不过保险期间还是反复核对了两遍确定没有问题,至此,有点小崩溃了。。。
最后,从内到外排查个遍了,怎么办,只能从出口下手,会不会是端口没有开放呢,外网测试了一下,还真就没有开放,又是一阵小窃喜,于是联系运营商,结果,结果人家说没有禁我映射的9999端口,怎么办,再次崩溃。。。
此时,我应该冷静,于是我来到了厕所,冷静冷静,突然发现还有一个点没查,如何实现内部网络不能上网的呢。
经确认,客户是在核心上没有配置默认路由来实现不能上网的,那么问题就一目了然了,外网拨入VPN数据到不了EMM设备或者数据根本回不去呀,问题算是找到了,那就找解决方案呗。
出口与核心之间启用的三层,那没办法只能在中间加个交换机,跳出核心交换机这个网络咯,于是客户也就真的这么干了,于是EMM就这么正常的拨入并且正常下载封装的APP了。
3、Easyconnet和aWORK客户端之选择问题
原本认为二者不会有太大差别,于是就建议客户下载了Easyconnet,结果坑又来了,使用之后发现封装的APP无法下载,只能通过资源列表打开应用,期间还咨询了400,可能也是遇到了新手,他居然也不知道如何处理,还反馈了一大圈,最后还是联系了办事处人员,下载了aWORK使用,满足客户需求,正常下载封装APP。
4、下载新封装APP之后,客户测试又现大坑
本以为这样就一切正常了,结果客户测试发现同事之间通过APP互传的pdf文档打不开,这又是什么鬼呢,一通查看各种策略,发现并无限制,最终经过原厂和400的多方协助,确认这种尝试发布了个WPS解决问题。
至此,基本能够满足客户先前需求,过程多艰辛,泪洒满长江呀。。。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版版主

244
191
111

发帖

粉丝

关注

153
85
76

发帖

粉丝

关注

21
27
71

发帖

粉丝

关注

本版热帖

本版达人

朱墩2

本周分享达人

新手48826...

本周提问达人

#厉害了! 我的技术等级已提升#