记一次EMM翻车测试
  

贝叶枫影 113203人觉得有帮助

{{ttag.title}}
本帖最后由 贝叶枫影 于 2019-8-22 12:05 编辑

一、客户需求
    某某客户出口使用的是SSL VPN,目前通过拨入Easyconnect,然后打开OA系统APP,实现数据加密传输;但是针对这种操作,客户认为过程比较繁琐,希望能够打开OA系统APP时能够自动拉起VPN,以实现数据的加密传输。
二、某公司
   根据客户需求,向客户推荐使用EMM应用封装功能,封装OA系统的原始的APK文件,实现打开封装后的APP,自动拉起VPN,进行数据加密传输。
三、配置步骤
   1、对EMM设备进行单臂模式不是,实现其基本上网功能(插曲:为什么一定要满足EMM设备上网功能呢???因为EMM应用封装APK文件时需要上传到sangfor云端服务器进行证书封装,所以需要联网才能完成封装过程。)

电脑端IP配置

电脑端IP配置

完成单臂部署

完成单臂部署
2、添加安卓/IOS证书(注:这里安卓证书,设备上已经有所集成,故不需要再进行添加(“SSL VPN设置--EMM--应用封装--设置--Android Keystore”可以进行查看或者重新导入);而IOS证书,需要到IOS相应官网申请(参考:https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=7894&highlight=))
3、在EMM--应用封装中进行“新建”操作,选择原生态的apk文件(一般在应用宝等下载就可以)(这里忘记做截图了,所以借用了文档截图)。

APK应用封装

APK应用封装
975385d5d0fa0379bf.png
4、应用商店发布APP(这里也借用了文档图片,当时激动的只记得配置,忘记截图了)
566685d5d11228bf80.png
499725d5d113e86e49.png
5、配置应用商店模块(继续借用)
969315d5d11966a46e.png
6、VPN基础配置
包含用户组及用户的创建、资源的发布及角色的关联(注意:资源发布,截止当前最新标准版本M7.6.6R1,只能发布TCP资源)。
7、结果测试
用户通过网页输入公网映射地址,拨入VPN,下载aWORK,输入对应的用户名和密码,然后到应用商店下载封装过的APP,实现打开APP自动拉起VPN功能。(此处不再截图)

四、跳坑大分析
1、关于EMM应用封装问题
客户网络分为内部网络和公网网络,EMM最终要部署到内部网络,不能上网又该如何实现应用封装呢(因为应用封装需要跟云端服务器联动才可以)???  机智如我,果断选择在公网网络先进行应用封装,然后再把已经通过封装的EMM设备部署到内网网络。
2、关于EMM部署问题
上节讲到EMM已经在公网环境进行了应用封装,本想这下直接单臂部署到内部网络就可以打完收工了,结果,结果部署之后发现外网手机死活都是无法拨入VPN的,这又是个什么情况呢?
首先,确定手机外网与客户内部网络的外网是否可通,因为本身客户这个网络出口就是SSL VPN设备,所以外网网络连通性是完全没有问题的;
其次,怀疑是不是EMM到出口的数据被中间某公司的防火墙给阻断了,特意查看了防火墙日志,显示确实有对EMM访问数据的阻断,惊喜,问题这么容易就找到了,于是高高兴兴做了一条EMM与外网之间的全放通测试,结果,结果依然无法通过外网访问EMM,怎么办,继续排查吧。。。
再次,既然测试手机网络与外网是连通的,那有没有可能是端口映射或者EMM设备路由配置问题呢,由于都是某公司的SSL VPN设备,保证配置没有问题这点,还是有足够信息的,不过保险期间还是反复核对了两遍确定没有问题,至此,有点小崩溃了。。。
最后,从内到外排查个遍了,怎么办,只能从出口下手,会不会是端口没有开放呢,外网测试了一下,还真就没有开放,又是一阵小窃喜,于是联系运营商,结果,结果人家说没有禁我映射的9999端口,怎么办,再次崩溃。。。
此时,我应该冷静,于是我来到了厕所,冷静冷静,突然发现还有一个点没查,如何实现内部网络不能上网的呢。
经确认,客户是在核心上没有配置默认路由来实现不能上网的,那么问题就一目了然了,外网拨入VPN数据到不了EMM设备或者数据根本回不去呀,问题算是找到了,那就找解决方案呗。
出口与核心之间启用的三层,那没办法只能在中间加个交换机,跳出核心交换机这个网络咯,于是客户也就真的这么干了,于是EMM就这么正常的拨入并且正常下载封装的APP了。
3、Easyconnet和aWORK客户端之选择问题
原本认为二者不会有太大差别,于是就建议客户下载了Easyconnet,结果坑又来了,使用之后发现封装的APP无法下载,只能通过资源列表打开应用,期间还咨询了400,可能也是遇到了新手,他居然也不知道如何处理,还反馈了一大圈,最后还是联系了某公司人员,下载了aWORK使用,满足客户需求,正常下载封装APP。
4、下载新封装APP之后,客户测试又现大坑
本以为这样就一切正常了,结果客户测试发现同事之间通过APP互传的pdf文档打不开,这又是什么鬼呢,一通查看各种策略,发现并无限制,最终经过原厂和400的多方协助,确认这种尝试发布了个WPS解决问题。
至此,基本能够满足客户先前需求,过程多艰辛,泪洒满长江呀。。。

打赏鼓励作者,期待更多好文!

打赏
11人已打赏

秋水伊人 发表于 2019-8-22 17:10
  
感谢分享,学习了
蓝海 发表于 2019-8-22 17:10
  
感谢分享,学习了
NONO 发表于 2019-8-27 09:32
  
谢谢分享。
D调的土豆 发表于 2019-8-27 09:32
  
谢谢分享。厉害了
hz0031 发表于 2019-8-28 16:56
  
厉害了

























Filwhyn 发表于 2019-8-28 17:29
  
谢谢分享。
田大爷 发表于 2019-8-30 08:23
  
赞。。。。。。。。。。。。。。。。。。。。。
carl 发表于 2019-8-30 15:10
  
写得很详细,后面的问题总结也很有用,先收藏起来!
感谢分享!点赞、打赏咯!
芋头大魔王 发表于 2019-8-30 16:54
  
牛逼牛逼。学习了。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

26
76
83

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人