【原创分享计划】Webagent方案解决拨号场景使用SSL VPN
  

银票小当家 发表于 2019-6-25 16:48


背景
      随着家庭上网带宽是采用拨号场景外,企业办公环境中拨号环境也越来越受欢迎,不仅享受着相对便宜的费用外,而拨号的带宽也从之前的几十兆到目前的1G的带宽。那么针对拨号场景下,如果想使用SSL VPN设备,那么在没有固定IP地址的情况下,怎么进行配置使用。

网络拓扑
      如下图所示,办公场景中有两条100M拨号的带宽,网络出口设备为深信服的NGAF ,SSL VPN旁路模式部署在交换机上面。依靠传统的方式在出口防火墙进行端口映射,因为是拨号场景,IP地址会随机变换,所以这个方式不太可行。
图片1.png

解决方案
使用webagent的方式进行解决这一个场景。
1、申请webagent
申请webagent需要找4006306430客服申请,只需要提供:公司名称、设备版本、联系方式 给客服,申请成功之后会以域名的方式发出,申请时间大概2-10分钟之内,也可以通过社区的在线客服申请。Webagent的方式就是类似于域名的形式。

2、配置Webagent到 SSL VPN中

【系统设置】-【SSL VPN选项】-【系统选项】 WebAgent动态IP支持,如下图所示(注:配置Webagent会重启SSL VPN服务,请合理安排时间)
图片2.png


3、在出口深信服防火墙进行端口映射,把SSL VPN的内外地址映射出去。

关于下图的标红处进行说明

目的IP地址:此处要选择“网络对象”中的“全部”,因为出口IP地址会随机变换,选择“全部”后,相当对是把WAN口的IP地址进行映射。
协议:选择“TCP”中“4433”端口, 这个是对我的协议端口,为什么选择端口“4433”而不是“443” ,那是因为443端口被运营商封堵了。你也可以选择其它没有封堵端口。
目的地址转换:IP转换为“指定IP” ,地址为SSL VPN的内网IP地址。端口转换为:“指定端口”为443 ,“443”端口为SSL VPN登录端口。
图片3.png

4、在外网进行打开浏览器,输入申请的Webagent进行访问。此时会自动调整到对应的公网IP地址。
图片4.png

Webagent寻址过程
1、总部设备上网把ADSL拨号获取的公网IP,上传给深信服webagent服务器。
2、分支上网访问webagent服务器获取总部的公网IP,然后再通过连接这个公网IP建立VPN连接。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

sangfor_闪电回_小六 发表于 2019-6-26 14:29
  
您好,感谢您参与社区原创分享计划,您的文章已被收录到计划中,分享激励将在专家小组评审结束后进行派发,再次感谢!

×
有话想说?点这里!
可评论、可发帖

本版版主

244
192
111

发帖

粉丝

关注

153
85
75

发帖

粉丝

关注

21
27
73

发帖

粉丝

关注

本版热帖

本版达人

新手24268...

本周建议达人

新手03360...

本周提问达人