VPN还可以这样玩!!如何将VPN当跳板管理网络设备!
  

adds Lv19发表于 2017-11-17 15:32

    总部设备系统版本:AF-7.1
    分支设备系统版本:AF-5.1

    需求:总部设备拥有SSL VPN的授权,而分支设备没有,客户想实现用户拨入总部VPN后,可以管理分支的网络设备,不允许开放总部、分支防火墙的外网登录接口。

    刚看到这个需求,感觉很简单,只需要在SSL VPN里将用户关联的资源里添加上分支的内网网段,再将资源访问的方式修改为“使用设备的IP地址作为源地址”。
   

    一、IPSec  VPN配置
    由于两端均是Sangfor的设备,配置比较简单。
    1、总部:
    新建用户:
    480275a0e751f70f45.png
    添加本地子网:
    355285a0e75513349f.png
   VPN接口设置:
    883585a0e7aa208a75.png
    2、分支:
    连接管理:
    510835a0e7a5238914.png
    内网接口设置:
    185625a0e7abc40c04.png
    外网接口设置:
    584225a0e7b9c0bfb3.png
    本地子网:
    51875a0e8bd629e92.png
    3、连接状态
    134525a0e7bc78b8fd.png

    二、SSL VPN设置
    1、新建用户
    2、新建资源
      204455a0e7c08c0545.png
    *这里除了要填写总部网络设备的网段,还需要填写分支网络设备的网段。
    3、新建角色
    4、配置资源服务选项
    162855a0e7d1700cd5.png
    *资源访问模式:勾选“使用设备的IP地址作为源地址”

     按照之前的配置思路,用户拨入总部的VPN后,使用VPN的地址去访问分支的设备,而总部和分支的链路已经通过IPSec VPN打通,但实际情况不是这样,发现VPN用户接入总部后无法Ping通分支的网络设备。
    使用route print命令发现,有去往分支(192.168.1.0/24网段)的路由。
    47965a0e80e15c2c4.png
    使用tracert命令,发现PC已经将发往分支的数据交给了虚拟网卡处理
    31195a0e812f9decc.png
    本机虚拟网卡IP为:1.1.1.1   对端为:1.1.1.2
   
   
    上面分析得出,VPN用户的数据交给了总部的VPN,但总部的VPN没有处理。在总部与分支的VPN建立起来后,总部VPN有了去往分支网段的路由,且从命令行控制台访问正常。
    114935a0e8a8aa36be.png
   
    解决方案
    最终在400的帮助下,重新更改了配置,将SSL VPN--资源服务选项--资源访问模式,使用分配的虚拟IP作为源地址;在总部的IPSec  VPN--本地子网列表,将2.0.1.0/24加入到列表中。
    数据交互过程:用户登录后,匹配L3VPN资源,获得访问分支网段的权限后,终端将源是2.0.1.0/24目的地址是192.168.1.0/24的数据交给总部VPN下发的虚拟IP(2.0.1.X),总部VPN通过分支VPN发布的本地子网获取192.168.1.0/24的路由,将终端用户的数据发往分支的VPN设备,分支接到数据后转给目的网络设备,之后,分支VPN通过从总部VPN获取的路由条目转回给总部VPN,实现数据的交互。
    这样,在VPN用户拨入VPN后,就可以访问分支发布的192.168.1.0/24网段了。
    520425a0e8d0a31cb4.png

    最后,有个疑问请教大家,在VPN客户端tracert 到分支内网设备IP的过程中,发现最终的结果是跟踪到了本地,很是疑惑。
    653585a0e8dcde9588.png
    而我本机并没有配置这个网段的IP。
   
   

    在最最开始的时候,认为用户关联的资源只要有分支网段就OK。VPN用户拨入总部VPN,总部有到分支的路由,直接就可以访问,当然这是错误的。之后才有了本贴开头的尝试。
   

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Sangfor_闪电回_朱丽 发表于 2017-11-20 09:09
  
SSL VPN和IPSEC VPN结合使用的需求,也经常会遇到,楼主对过程分析很透彻,想学习的都GET起来
PS:最后三张图是?
qinpeng Lv18发表于 2017-11-23 11:27
  
666666666666666666
liangzhihao Lv7发表于 2017-11-24 15:38
  
学习到了
Forever Lv4发表于 2017-11-27 10:55
  
没说到第一种方式为什么不行啊,数据为啥没有往ipsecvpn隧道里扔
fjqx Lv6发表于 2017-12-19 21:22
  
多谢分享……
ID404 Lv4发表于 2017-12-28 11:51
  
第二种方法确实可以实现楼主的需求,但我觉得更重要的是查出第一种方法为什么不行
ITMNG Lv0发表于 2017-12-29 08:09
  
这样都行,大赞!
新手261882 Lv6发表于 2018-1-4 00:40
  
没想到,好好学习学习!
深器 Lv6发表于 2018-1-4 07:39
  
过来学习