通过vpn登录后从指定出口访问网站

   

   拓扑如上图，ad上有两条出口，分别是电信和教育网。Ad下是防火墙，防火墙直连dmz交换机和内网核心交换机，vpn单臂部署在dmz交换机上，通过ad端口映射到外网提供登录。

    用户的需求是：通过vpn登录后可以通过教育网出口访问“知网”之类的网站，可以方便用户下载文档。所以，流量在兜圈子，从外网进来后绕了一圈兜出去访问网站。由于不确定用户要访问哪些网站，沟通后将资源配置成****(此处有安全隐患，考虑将dmz和内网地址网段去除)。

    在电话上和某公司400的老师请教后确认，vpn设备的网卡优先级要比本地的网卡要高，所以在登录vpn后键入域名也会匹配资源通过vpn设备发起访问（点赞某公司400）。

    然后就是要让用户通过教育网出口访问外网的网站了。

    因为vpn和ad之间有防火墙，所以需要在防火墙上放行vpn到防火墙方向的访问，由于在部署vpn设备的时候已经做过相应的策略，这里就不做赘述了。

    Vpn设备上的web应用使用设备ip地址作为源地址，需要在ad上通过源地址转换把vpn的设备地址转换为教育网地址，并在策略路由里将vpn的设备地址的下一跳指到教育网出口。

    配置完成，测试一下账号是否生效。

    已通过ip被识别为教育网用户。

学习到了。谢谢分享。

谢谢分享。

打卡打卡

支持支持

打卡打卡

感谢楼主的分享，举例说明了用户通过特定的网络去访问资源，还有拓扑图和配置截图也都很详细，确实vpn设备的网卡优先级要比本地的网卡要高，可以将资源配置成1.1.1.1-223.255.255.254/1:65535发布，方便用户通过VPN访问外网资源，不过这种方式相当于用户访问外网的所有数据流量都从VPN出口这边访问了，对于VPN设备负载而言是比较大的，如果用户比较多，访问资源比较多，是不建议通过这种方式的，配置之前建议先和客户沟通风险，期待楼主下次分享哦:爱你:

感谢分享

感谢分享

打卡学习