VPN还可以这样玩！！如何将VPN当跳板管理网络设备！

    总部设备系统版本：AF-7.1

    分支设备系统版本：AF-5.1

    需求：总部设备拥有SSL VPN的授权，而分支设备没有，客户想实现用户拨入总部VPN后，可以管理分支的网络设备，不允许开放总部、分支防火墙的外网登录接口。

    刚看到这个需求，感觉很简单，只需要在SSL VPN里将用户关联的资源里添加上分支的内网网段，再将资源访问的方式修改为“使用设备的IP地址作为源地址”。

   

    一、IPSec  VPN配置

    由于两端均是Sangfor的设备，配置比较简单。

    1、总部：

    新建用户：

   

    添加本地子网：

   

   VPN接口设置：

   

    2、分支：

    连接管理：

   

    内网接口设置：

   

    外网接口设置：

   

    本地子网：

   

    3、连接状态

   

    二、SSL VPN设置

    1、新建用户

    2、新建资源

     

    *这里除了要填写总部网络设备的网段，还需要填写分支网络设备的网段。

    3、新建角色

    4、配置资源服务选项

   

    *资源访问模式：勾选“使用设备的IP地址作为源地址”

     按照之前的配置思路，用户拨入总部的VPN后，使用VPN的地址去访问分支的设备，而总部和分支的链路已经通过IPSec VPN打通，但实际情况不是这样，发现VPN用户接入总部后无法Ping通分支的网络设备。

    使用route print命令发现，有去往分支（192.168.1.0/24网段）的路由。

   

    使用tracert命令，发现PC已经将发往分支的数据交给了虚拟网卡处理

   

    本机虚拟网卡IP为:1.1.1.1   对端为：1.1.1.2

   

   

    上面分析得出，VPN用户的数据交给了总部的VPN，但总部的VPN没有处理。在总部与分支的VPN建立起来后，总部VPN有了去往分支网段的路由，且从命令行控制台访问正常。

   

   

    解决方案：

    最终在400的帮助下，重新更改了配置，将SSL VPN--资源服务选项--资源访问模式，使用分配的虚拟IP作为源地址；在总部的IPSec  VPN--本地子网列表，将2.0.1.0/24加入到列表中。

    数据交互过程：用户登录后，匹配L3VPN资源，获得访问分支网段的权限后，终端将源是2.0.1.0/24目的地址是192.168.1.0/24的数据交给总部VPN下发的虚拟IP（2.0.1.X），总部VPN通过分支VPN发布的本地子网获取192.168.1.0/24的路由，将终端用户的数据发往分支的VPN设备，分支接到数据后转给目的网络设备，之后，分支VPN通过从总部VPN获取的路由条目转回给总部VPN，实现数据的交互。

    这样，在VPN用户拨入VPN后，就可以访问分支发布的192.168.1.0/24网段了。

   

    最后，有个疑问请教大家，在VPN客户端tracert 到分支内网设备IP的过程中，发现最终的结果是跟踪到了本地，很是疑惑。

   

    而我本机并没有配置这个网段的IP。

   

   

    在最最开始的时候，认为用户关联的资源只要有分支网段就OK。VPN用户拨入总部VPN，总部有到分支的路由，直接就可以访问，当然这是错误的。之后才有了本贴开头的尝试。

   

SSL VPN和IPSEC VPN结合使用的需求，也经常会遇到，楼主对过程分析很透彻，想学习的都GET起来

PS:最后三张图是？

666666666666666666

学习到了

没说到第一种方式为什么不行啊，数据为啥没有往ipsecvpn隧道里扔

多谢分享……

第二种方法确实可以实现楼主的需求，但我觉得更重要的是查出第一种方法为什么不行

这样都行，大赞！

没想到，好好学习学习!

过来学习