【2022争霸赛*干货满满】SSL VPN利用虚拟IP池，实现总部与移动端互访。

【2022争霸赛*干货满满】SSL VPN利用虚拟IP池，实现总部与移动端互访。

客户环境：WAN口：互联网线路

          LAN口 ：内网服务器区

客户需求：

1：分支服务器登录VPN之后与总部服务器实现互访。

2：分支用户端登录VPN之后无法访问互联网。

3：分支用户登录VPN后允许访问部分外网IP。

实现方式:

1：配置虚拟IP地址池，用户接入后会获取一个虚拟IP，虚拟IP（不能与内网网段冲突）。SSL系统选项配置用户接入以虚拟IP做为源地址。由于VPN是网关部署，且服务器网段跟LAN口同网段，内网无法做虚拟IP的指向路由，单臂环境需要在上联设备做路由：访问虚拟IP地址下一跳指向SSLVPN LAN口。

2：策略组里开启SSL专线，可根据不同的用户关联此策略组。

3：SSL专线下面有一个白名单选项，添加允许访问的外网IP，即可实现需求。

用户关联L3VPN资源后，登录会获取到一个虚拟IP地址，例如分支服务器获取到的是1.1.1.1，总部服务器通过1.1.1.1访问分支服务器。

注意细节：

服务器反向访问vpn客户端，需要将服务器的所有端口都发布资源，因为服务器去访问vpn客户端的源端口是随机的，vpn客户端也要回包给这个源端口。例：用户端需要访问服务器端的192.168.1.80:80端口，服务器需要访问分支端1.1.1.1:100端口，这种场景需要L3VPN资源关联192.168.1.80的所有端口，192.168.1.80去请求1.1.1.1是用的随机端口，比如192.168.1.80:55555请求1.1.1.1:80 或者192.168.1.80:62212请求1.1.1.1:80 源端口为随机端口。

感谢楼主分享！文章介绍了VPN实现两端互访的配置思路与注意事项，对数据流也做了分析。很实用，期待楼主带来更多有价值的案例分享

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~