F1000-AK135
- 0关注
- 1收藏,884浏览
问题描述:
问题描述:网络结构:isp→路由器→防火墙,希望外网用户能够访问内网资源。现在我在防火墙上配置了sslvpn但是外网与防火墙建立sslvpn连接,配置如下
组网及组网描述:
- 附件下载: 配置.rar
- 2019-10-12提问
- 举报
-
(0)
最佳答案
你现场在domain里面导入证书了吗?你开启了客户端证书认证,终端证书导入了吗?
# local-user test class network
password cipher $c$3$DGJELMV96g0d3JOjb5bt5d29zyZ0RA==
service-type sslvpn
authorization-attribute user-role network-operator
authorization-attribute sslvpn-policy-group 123 #
仿照上面修改下local-user
pki domain xxx
public-key rsa general name xxx
undo crl check enable
ssl server-policy sslvpn
pki-domain hxsjyjy
client-verify enable
为啥PKI domain的名字还不一样,你要是用不到这么复杂的完全可以不用配置这么多
- 2019-10-12回答
- 评论(3)
- 举报
-
(0)
sslvpn gateway GW
ip address 外网地址
ssl server-policy sslvpn
service enable
配置sslvpn网关的时候端口号改一下,因为默认的端口号在外网会被封掉:
#SSLVPN网关IP地址填写防火墙1口地址222.1.1.1.00,端口号修改为4433,缺省端口为443,443端口和https端口冲突,然后使能网关配置。
<H3C>sys
[H3C]sslvpn gateway SSLVPNGW
[H3C-sslvpn-gateway-SSLVPNGW]ip address 222.1.1.100 port 4433
[H3C-sslvpn-gateway-SSLVPNGW]service enable
[H3C-sslvpn-gateway-SSLVPNGW]quit
- 2019-10-12回答
- 评论(24)
- 举报
-
(0)
证书没过期 到2056年才过期
那我路由器上需要改什么东西吗
路由器上需要把ssl vpn的端口号映射到外网上
是把sslvpn nat server protocol tcp global 外网地址 4433 inside 100.1.2.2 4433
是吗
嗯
可是还是不行啊
这是为什么
端口号在外网可以telnet打开吗
可以
sslvpn网关下配置的service enable这条命令undo下,重新在开一下试试
还是不行
那我也不知道了 local-user的配置确定没问题?
我不是都把核心配置给贴上去了吗
配置里面只有一段
那我看一下
local-user 1 class network password cipher $c$3$tTP1iWeVzAChCgeZ6MpdNgP7meENBceqliZc service-type sslvpn group usergroup authorization-attribute user-role network-operator
local-user 1 class network password cipher $c$3$tTP1iWeVzAChCgeZ6MpdNgP7meENBceqliZc service-type sslvpn group usergroup authorization-attribute user-role network-operator
配置里有呀
会不会是证书的问题 怎么查看证书是否应用
证书的我不太清楚 防火墙本身自带缺省证书的
我有导入证书 也应用上了啊
那这个为啥不行
这我就不太清楚了,您看下能不能联系400问一下吧
证书没过期 到2056年才过期
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
还是user-group?