本帖最后由 MrBeichuan 于 2022-5-28 23:27 编辑
一、PPTP
1、应用场景SANGFOR SSL设备从5.1版本开始支持iPhone、iPad、Android 的PPTP接入,达到类似L3VPN服务的效果。 通过PPTP方式接入,可以减少服务端部署成本以及手机维护的影响。SANGFOR SSL 设备能够提供细化到IP、端口的权限划分,弥补PPTP一般只能全网访问的不足,同时用户通过PPTP接入SSL无需安装客户端,避免软件冲突的可能。 PPTP如果是单臂部署,需要前端设备映射TCP 1723端口和支持PPTP应用网关NAT穿透。 2、必要条件说明SSL VPN设备上面要开启允许PPTP方式接入。 设备单臂部署,前端设备要支持PPTP穿透,并且要映射TCP 1723端口
PPTP如果是单臂部署,需要前端设备映射TCP 1723端口和支持PPTP应用网关NAT穿透。 3、配置思路 1.【系统设置】-【SSL VPN选项】-【系统选项】-【接入选项】,勾选“启用PPTP接入服务”。 【SSL VPN设置】-【策略组管理】,新增组策略,勾选“允许使用PPTP方式接入”。 【SSL VPN设置】-【用户管理】,在需要PPTP接入的用户和用户组属性中关联第2步设置的组策略。 【SSL VPN设置】-【资源管理】,新建L3VPN资源,添加需要通过PPTP访问的资源。 【SSL VPN设置】-【角色授权】,新建角色,关联用户/用户组和资源。
4、注意事项用户首先通过EC登录SSL VPN,再通过PPTP的方式接入访问内网资源需要占用2个移动用户的授权。 SSL VPN 6.6版本开始支持微软AD账号通过PPTP接入,SSL VPN 6.6以前的版本只支持本地用户名密码认证。 个别地区电信运营商(如北京联通)会封锁3G网络的PPTP,如部署好后发现通过WIFI可以接入,但通过3G不行,很可能就是运营商封锁。 IPhone、IPad 待机后可能会自动断开PPTP连接。 PPTP连接不成功时,需确认从本端网络到SSL设备之间的设备 ,是否支持PPTP穿透,可以尝试内网通过VPN LAN口地址连接PPTP测试是否是服务端未配置正确导致连接不上PPTP。
二、L2TP配置指导1、应用场景 手机使用自带的L2TP客户端接入VPN访问内网应用,不需要安装客户端。 2、配置思路创建用户(用户组),关联上面设置的策略。添加L3VPN资源,并通过角色授权将用户、资源关联起来。
3、注意事项SSLVPN设备单臂模式部署时,需要前端设备映射UDP 500、UDP4500 和UDP1701端口而且前端设备必须支持L2TP 应用穿透。 测试时请尽量用WIFI从内网测试(输入VPN的内网地址),这样如果可以连接,而外网无法连接,则可能是前端设备配置问题或本身不支持L2TP协议。另外需要注意,有些3G网络不支持L2TP,请自行排除网络原因。 通过L2TP 访问的应用,必须添加成L3VPN 资源。 开启了L2TP 接入服务,SSL 设备自带的标准IPSec VPN 服务将不能使用,SANGFOR VPN 功能不受影响。 手机接入L2TP之后无法访问互联网,L2TP特性。 L2TP结合AD域认证需要SSLVPN设备加入域。 SANGFOR SSLVPN的L2TP只支持安卓/IOS自带的L2TP客户端连接,不支持WINDOWS/LINUX的L2TP客户端。
三、虚拟门户配置指导1、功能简介SAGNFOR SSL VPN借助多页面隔离访问技术,实现独立的虚拟门户访问。 虚拟门户功能主要价值在于: 安全隔离:实现登录用户的完全隔离访问。在终端登录用户使用中,他们将完全接触不到不同权限的其他用户,每一组单独使用不同的系统地址,不同的登录页面,不同的认证方式,访问不同的资源页面,从而实现完全的隔离访问 统一管理:对于拥有不同的分支结构或者不同部门之间的登陆,虚拟门户能在一台设备上虚拟多个登录平台,提供给不用的用户组织使用,能实现多台设备分别登录的效果,实现更好的统一管理。
虚拟门户功能,将允许客户能把一台SSLVPN设备,虚拟成多台来提供不同的部门和分属子公司进行访问。 2、应用场景不同部门、不同运营平台采用不同的SSL VPN用户登录页面; 各个不同的SSL VPN用户登录页面可拥有独立的地址或端口、选择不同的页面模板;
3、必要条件说明虚拟门户主要用于PC端使用浏览器登录呈现不同的SSL VPN登录页面; 通过不同IP或端口区分不同虚拟门户,因此需要配置多个网口IP或者HTTPS服务端口;
4、配置思路配置不同虚拟门户使用的IP地址、HTTPS服务端口; 配置不同IP或端口的访问地址、关联的用户/用户组、使用界面模板;
5、注意事项启用虚拟门户后,SSL VPN多线路选路功能将不可用,相关配置菜单将不可见; 集群部署时只能采用一个CIP对外访问,可以采用不同HTTPS端口区分实现虚拟门户; 若外网线路为ADSL线路需要使用虚拟门户功能,webagent尚不支持多端口寻址,此情况下在设备上设置多https端口,然后申请其他动态域名服务,如花生壳,用花生壳域名+端口区分不同的虚拟门户; 如果用户登录不属于该用户组登陆策略的虚拟门户页面,会提示“用户不符合登录策略,禁止登录。”如下图所示: 虚拟门户功能不支持EC登录,只支持浏览器方式登录。
|