• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MSR36-40如何设置SSL VPN

2021-03-08提问
  • 0关注
  • 1收藏,1098浏览
粉丝:0人 关注:0人

问题描述:

互联网移动用户如何通过VPN连接进公司网络,进而可以访问内网

最佳答案

粉丝:138人 关注:6人

您好,请知:

以下是SSL VPN的配置举例,请参考:

SSL VPN典型配置举例

4.1  组网需求

在SSL VPN中,为了普通用户能够以HTTPS方式登录SSL VPN网关的Web页面,通过SSL VPN网关管理和访问企业内部资源,需要为SSL VPN网关申请证书,并启用SSL VPN服务。

在本配置举例中:

·     SSL VPN网关的地址为10.1.1.1/24,为SSL VPN网关和远程接入用户颁发证书的CA(Certificate Authority,证书颁发机构)地址为10.2.1.1/24,CA名称为CA server。

·     对SSL VPN用户进行RADIUS认证,由一台CAMS/iMC服务器(IP地址为10.153.10.131/24)担当RADIUS认证服务器。SSL VPN用户通过认证后,可以访问公司内部提供技术网站(IP地址为10.153.1.223);可以访问10.153.2.0/24网段中的所有主机,并可以通过FTP协议快捷访问Security Server(IP地址为10.153.2.25)。

·     提供一个公共账号usera,对其进行本地认证(不进行RADIUS认证),且最多允许1个用户同时使用该公共账号登录。用户通过该公共账号登录SSL VPN后,可以访问公司内部主机10.153.70.120的共享桌面。

·     SSL VPN域的默认认证方式为RADIUS认证,并且启用校验码验证。

图4-1 SSL VPN配置组网图

 

4.2  配置步骤

说明

·     本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

·     进行下面的配置之前,需要确保SSL VPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书。

·     进行下面的配置之前,需要确保已完成RADIUS服务器的配置,保证用户的认证功能正常运行。本例中,RADIUS服务器上需要配置共享密钥为expert;还需要配置用户帐户信息及用户所属的用户组属性,将用户划分到用户组“user_gr2”中。

 

4.2.1  配置SSL VPN服务

(1)     配置PKI实体en。

步骤1:在导航栏中选择“证书管理 > PKI实体”

步骤2:单击<新建>按钮。

步骤3:如下图所示,输入PKI实体名称为“en”,输入通用名为“http-server”。

步骤4:单击<确定>按钮完成操作。

图4-2 配置PKI实体en

 

(2)     配置PKI域sslvpn。

步骤1:在导航栏中选择“证书管理 > PKI域”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·     输入PKI域名称为“sslvpn”。

·     输入CA标识符为“CA server”。

·     选择本端实体为“en”。

·     选择注册机构为“RA”。

·     输入证书申请URL为“http://10.2.1.1/certsrv/mscep/mscep.dll”。

·     选择证书申请方式为“Manual”。

步骤4:单击<确定>按钮,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”

步骤5:单击对话框中的<确定>按钮完成操作。

图4-3 配置PKI域sslvpn

 

(3)     生成RSA密钥对。

步骤1:在导航栏中选择“证书管理 > 证书”。

步骤2:单击<创建密钥>按钮。

步骤3:如下图所示,输入密钥长度为“1024”。

步骤4:单击<确定>按钮开始生成RSA密钥对。

图4-4 生成RSA密钥对

 

(4)     获取CA证书至本地。

步骤1:生成密钥对成功后,在证书列表页面单击<获取证书>按钮。

步骤2:进行如下配置,如下图所示。

·     选择PKI域为“sslvpn”。

·     选择证书类型为“CA”。

步骤3:单击<确定>按钮开始获取CA证书。

图4-5 获取CA证书至本地

 

(5)     申请本地证书。

步骤1:获取CA证书成功后,在证书列表页面单击<申请证书>按钮。

步骤2:如下图所示,选择PKI域名称为“sslvpn”。

图4-6 申请本地证书

 

步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。

步骤4:单击提示框中的的<确定>按钮完成操作。

步骤5:完成上述配置后,在证书列表页面可以看到获取到的CA证书和本地证书,如下图所示。

图4-7 获取到的CA证书和本地证书

 

(6)     启用SSL VPN,并配置SSL VPN服务的端口号和使用的PKI域。

步骤1:在导航栏中选择“VPN > SSL VPN > 服务管理”。

步骤2:进行如下配置,如下图所示。

·     选中“启用SSL VPN”前的复选框。

·     输入端口为“443”。

·     选择PKI域为“sslvpn”。

步骤3:单击<确定>按钮完成操作。

图4-8 配置SSL VPN服务

 

4.2.2  配置SSL VPN访问资源

(1)     配置访问公司内部技术网站的Web代理服务器资源tech。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > Web代理”。

步骤2:单击<新建>按钮。

步骤3:进入如下配置,如下图所示。

·     输入资源名称为“tech”。

·     输入站点地址为“http://10.153.1.223/”。

步骤4:单击<确定>按钮完成操作。

图4-9 配置Web代理服务器资源

 

(2)     配置主机10.153.70.120的桌面共享服务资源desktop。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

步骤2:单击“桌面共享”页签。

步骤3:单击<新建>按钮。

步骤4:进入如下配置,如下图所示。

·     输入资源名称为“desktop”。

·     输入远程主机为“10.153.70.120”。

·     输入服务端口为“3389”。

·     输入本地主机为“127.0.0.2”。

·     输入本地端口为“20000”。

·     输入命令行为“mstsc /v 127.0.0.2:20000”。

步骤5:单击<确定>按钮完成操作。

图4-10 配置桌面共享服务资源

 

(3)     配置IP网络资源的全局参数。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”,进入“全局配置”页签的页面。

步骤2:进行如下配置,如下图所示。

·     输入起始IP为“192.168.0.1”。

·     输入终止IP为“192.168.0.100”。

·     输入子网掩码为“24”。

·     输入网关地址为“192.168.0.101”。

步骤3:单击<确定>按钮完成操作。

图4-11 配置IP网络资源的全局参数

 

(4)     配置用户通过IP网络接入方式可以访问的主机资源sec_srv。

步骤1:单击“主机配置”页签。

步骤2:单击<新建>按钮。

步骤3:输入资源名为“sec_srv”。

步骤4:在“允许访问的网络服务”中单击<新建>按钮。

步骤5:在弹出的窗口中进行如下配置,如下图所示。

·     输入目的地址为“10.153.2.0”。

·     输入子网掩码为“24”。

·     选择协议类型为“IP”。

·     输入描述信息为“10.153.2.0/24”。

步骤6:单击<确定>按钮向该主机资源中添加一个允许访问的网络服务。

图4-12 配置允许访问的网络访问

 

步骤7:在“快捷方式”中单击<新建>按钮。

步骤8:在弹出的窗口中进行如下配置,如下图所示。

·     输入快捷方式名称为“ftp_security-server”。

·     输入快捷方式命令为“ftp 10.153.2.25”。

步骤9:单击<确定>按钮向该主机资源中添加一个快捷方式。

图4-13 配置允许访问的网络访问

 

步骤10:完成上述配置后的新建主机资源页面如下图所示,单击<确定>按钮完成操作。

图4-14 配置主机资源

 

(5)     配置资源组res_gr1,包含资源desktop。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > 资源组”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·     输入资源组名为“res_gr1”。

·     在可用资源中选中“desktop”,单击“<<”按钮。

步骤4:单击<确定>按钮完成操作。

图4-15 配置资源组res_gr1

 

(6)     配置资源组res_gr2,包含资源tech和sec_srv。

步骤1:在资源组列表页面单击<新建>按钮。

步骤2:进行如下配置,如下图所示。

·     输入资源组名为“res_gr2”。

·     在可用资源中选中“sec_srv”和“tech”,单击“<<”按钮。

步骤3:单击<确定>按钮完成操作。

图4-16 配置资源组res_gr2

 

4.2.3  配置SSL VPN用户

(1)     配置本地用户usera。

步骤1:在导航栏中选择“VPN > SSL VPN > 用户管理 > 本地用户”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·     输入用户名为“usera”。

·     输入用户密码为“passworda”。

·     输入密码确认为“passworda”。

·     选中“启用公共账号”前的复选框。

·     输入公共账号允许登录的最大用户数为“1”。

·     选择用户状态为“允许”。

步骤4:单击<确定>按钮完成操作。

图4-17 配置本地用户usera

 

(2)     配置用户组user_gr1,包含资源组res_gr1和本地用户usera。

步骤1:在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户组”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·     输入用户组名为“user_gr1”。

·     在可用资源组中选中“res_gr1”,单击“<<”按钮。

·     在可用本地用户中选中“usera”,单击“<<”按钮。

步骤4:单击<确定>按钮完成操作。

图4-18 配置用户组user_gr1

 

(3)     配置用户组user_gr2,包含资源组res_gr2。

步骤1:在用户组列表页面单击<新建>按钮。

步骤2:进行如下配置,如下图所示。

·     输入用户组名为“user_gr2”。

·     在可用资源组中选中“res_gr2”,单击“<<”按钮。

步骤3:单击<确定>按钮完成操作。

图4-19 配置用户组user_gr2

 

4.2.4  配置SSL VPN域

(1)     配置SSL VPN域的默认认证方式为RADIUS认证,并启用校验码验证。

步骤1:在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”。

步骤2:进行如下配置,如下图所示。

·     选中“启用校验码验证”前的复选框。

·     选择默认认证方式为“RADIUS认证”。

步骤3:单击<确定>按钮完成操作。

图4-20 配置域策略

 

(2)     配置RADIUS方案system。

步骤1:在导航栏中选择“用户管理 > RADIUS”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置。

·     输入方案名称为“system”。

·     选择服务类型为“Extended”。

·     选择用户名格式为“不带域名”。

步骤4:在RADIUS服务器配置中单击<添加>按钮。

步骤5:在弹出的页面上进行如下配置,如下图所示。

·     选择服务器类型为“主认证服务器”。

·     输入IP地址为“10.153.10.131”。

·     输入端口为“1812”。

·     输入密钥为“expert”。

·     输入确认密钥为“expert”。

步骤6:单击<确定>按钮向RADIUS方案中添加一个主认证服务器。

图4-21 配置主认证服务器

 

步骤7:完成上述配置后的新建RADIUS方案页面如下图所示,单击<确定>按钮完成操作。

图4-22 配置RADIUS方案system

 

(3)     对SSL VPN域启用RADIUS认证。

步骤1:在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

步骤2:单击“RADIUS认证”页签。

步骤3:如下图所示,选中“启用RADIUS认证”前的复选框。

步骤4:单击<确定>按钮完成操作。

图4-23 启用RADIUS认证

 

4.3  配置结果验证

完成上述配置后,SSL VPN用户在其主机上启动浏览器,在浏览器的地址栏中输入“https://10.1.1.1/svpn/”后回车,进入SSL VPN的登录页面,如下图所示,可以看到默认的认证方式(即类别)为RADIUS,并且需要输入验证码。

图4-24 SSL VPN登录页面

 

用户使用公共账号usera登录SSL VPN,登录时类别参数设置为“Local”。usera登录SSL VPN后,可以看到其可访问的资源desktop,如图4-25所示。单击此资源名称,即可弹出如图4-26所示的窗口,访问指定主机的共享桌面。

图4-25 公共账号usera可访问的资源

 

图4-26 访问桌面共享资源

 

假设RADIUS服务器上配置了属于用户组“user_gr2”的RADIUS用户“userb”,用户使用该账号登录SSL VPN,登录时类别参数采用默认值“RADIUS”。userb登录SSL VPN后,可以看到其可访问的资源包括有Web站点资源tech、10.153.2.0/24网段的所有主机,以及通过FTP访问Security Server,如图4-27所示。单击tech资源名称,即可弹出技术网站的访问窗口;单击快捷方式ftp_security-server,即可弹出如图4-28所示的窗口,通过FTP协议访问Security Server。

图4-27 非公共账号可访问的资源

 

图4-28 访问IP网络资源

暂无评论

1 个回答
粉丝:38人 关注:3人

https://www.h3c.com/cn/d_201607/937282_30005_0.htm


暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明