#原创分享#通过VPN实现域名资源权限划分

#原创分享#通过VPN实现域名资源权限划分

客户需求：

客户内网多个域名指向同一个IP，例如a.data.com和b.data.com都指向1.1.1.1，只能接入VPN后才能访问该资源。希望通过VPN实现用户A只能通过访问a.data.com访问资源，用户B只能通过访问b.data.com去访问资源，同时A不能通过访问b.data.com去访问资源，用户B不能通过a.data.com去访问资源。

原理分析：

这里说明下VPN的两个原理
1、想必大家都知道我们VPN是不能像AD设备一样去区分或改写请求头部的，但是我们可以通过资源关联来实现客户需求，原理如下：当配置的资源是域名时，若未将该域名写入内网域名解析模块，解析是由公网DNS和VPN实现的，敲重点！！！解析是由公网DNS和VPN实现的，VPN也会去解析这个域名！！！解析遵循先到先得，就是公网和VPN解析谁返回快就用谁。
2、域名资源情况下，设备是通过给客户端的路由里面加一条解析出的地址指向VPN虚拟网卡来实现引流的。
3、对于域名资源，若域名没写到内网域名解析模块，而是直接以资源地址里面，设备也会去解析，利用这个特性就可以实现A用户只能访问a.data.com，B用户只能访问b.data.com。A没有关联b.data.com这个资源，设备是不会代理去解析的。

实现步骤
1、资源配置，每个域名都单独配置一个L3资源
2、用户关联对应的角色
3、域名解析关闭公网解析，只能内网解析

感谢楼主的分享，详细说明了SSL VPN访问域名资源解析的原理，也说明了如何实现不同用户登录访问不同资源的案例，非常值得学习，期待楼主更多分享:爱你:

您好，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=113795

PS：内容越完整，获得优秀/精华的机率越大，奖励也越高，建议楼主对实现步骤进行补充，包括每一步的配置+截图

感谢分享

学习了，感谢分享！

感谢楼主分享，利用设备原理灵活解决问题，果然优秀

感谢分享

学习学习~