• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

路由器怎么给VPN客户端分配dns

2021-06-25提问
  • 0关注
  • 1收藏,3352浏览
粉丝:0人 关注:0人

问题描述:

路由器做vpn服务器用,怎么配置给客户端获取的dns地址,地址池那里只有网址段和网关配置

最佳答案

粉丝:138人 关注:6人

您好,请知:

以下是SSL VPN的配置举例,注意 配置IP网络资源的全局参数 部分,有DNS分配的:


SSL VPN典型配置举例

4.1  组网需求

在SSL VPN中,为了普通用户能够以HTTPS方式登录SSL VPN网关的Web页面,通过SSL VPN网关管理和访问企业内部资源,需要为SSL VPN网关申请证书,并启用SSL VPN服务。

在本配置举例中:

l              SSL VPN网关的地址为10.1.1.1/24,为SSL VPN网关和远程接入用户颁发证书的CA(Certificate Authority,认证机构)地址为10.2.1.1/24,CA名称为CA server。

l              对SSL VPN用户进行RADIUS认证,由一台CAMS/iMC服务器(IP地址为10.153.10.131/24)担当RADIUS认证服务器。SSL VPN用户通过认证后,可以访问公司内部提供技术网站(IP地址为10.153.1.223);可以访问10.153.2.0/24网段中的所有主机,并可以通过FTP协议快捷访问Security Server(IP地址为10.153.2.25)。

l              提供一个公共账号usera,对其进行本地认证(不进行RADIUS认证),且最多允许1个用户同时使用该公共账号登录。用户通过该公共账号登录SSL VPN后,可以访问公司内部主机10.153.70.120的共享桌面。

l              SSL VPN域的默认认证方式为RADIUS认证,并且启用校验码验证。

图4-1 SSL VPN配置组网图

 

4.2  配置步骤

l          本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

l          进行下面的配置之前,需要确保SSL VPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书。

l          进行下面的配置之前,需要确保已完成RADIUS服务器的配置,保证用户的认证功能正常运行。本例中,RADIUS服务器上需要配置共享密钥为expert;还需要配置用户帐户信息及用户所属的用户组属性,将用户划分到用户组“user_gr2”中。

 

4.2.1  配置SSL VPN服务

(1)        配置PKI实体en。

步骤1:在导航栏中选择“证书管理 > PKI实体”

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

l              输入PKI实体名称为“en”。

l              输入通用名为“http-server”。

步骤4:单击<确定>按钮完成操作。

图4-2 配置PKI实体en

 

(2)        配置PKI域sslvpn。

步骤1:在导航栏中选择“证书管理 > PKI域”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

l              输入PKI域名称为“sslvpn”。

l              输入CA标识符为“CA server”。

l              选择本端实体为“en”。

l              选择注册机构为“RA”。

l              输入证书申请URL为“http://10.2.1.1/certsrv/mscep/mscep.dll”。

l              选择证书申请方式为“Manual”。

步骤4:单击<确定>按钮,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”

步骤5:单击对话框中的<确定>按钮完成操作。

图4-3 配置PKI域sslvpn

 

(3)        生成RSA密钥对。

步骤1:在导航栏中选择“证书管理 > 证书”。

步骤2:单击<创建密钥>按钮。

步骤3:如下图所示,输入密钥长度为“1024”。

步骤4:单击<确定>按钮开始生成RSA密钥对。

图4-4 生成RSA密钥对

 

(4)        获取CA证书至本地。

步骤1:生成密钥对成功后,在“证书管理 > 证书”的页面单击<获取证书>按钮。

步骤2:进行如下配置,如下图所示。

l              选择PKI域为“sslvpn”。

l              选择证书类型为“CA”。

步骤3:单击<确定>按钮开始获取CA证书。

图4-5 获取CA证书至本地

 

(5)        申请本地证书。

步骤1:获取CA证书成功后,在“证书管理 > 证书”的页面单击<申请证书>按钮。

步骤2:如下图所示,选择PKI域名称为“sslvpn”。

图4-6 申请本地证书

 

步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。

步骤4:单击提示框中的的<确定>按钮完成操作。

步骤5:完成上述配置后,在“证书管理 > 证书”的页面可以看到获取到的CA证书和本地证书,如下图所示。

图4-7 获取到的CA证书和本地证书

 

(6)        启用SSL VPN,并配置SSL VPN服务的端口号和使用的PKI域。

步骤1:在导航栏中选择“VPN > SSL VPN > 服务管理”,进入如下图所示的页面。

步骤2:进行如下配置,如下图所示。

l              选中“启用SSL VPN”前的复选框。

l              输入端口为“443”。

l              选择PKI域为“sslvpn”。

步骤3:单击<确定>按钮完成操作。

图4-8 配置SSL VPN服务

 

4.2.2  配置SSL VPN访问资源

(1)        配置访问公司内部技术网站的Web代理服务器资源tech。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > Web代理”。

步骤2:单击<新建>按钮。

步骤3:进入如下配置,如下图所示。

l              输入资源名称为“tech”。

l              输入站点地址为“http://10.153.1.223/”。

步骤4:单击<确定>按钮完成操作。

图4-9 配置Web代理服务器资源

 

(2)        配置主机10.153.70.120的桌面共享服务资源desktop。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

步骤2:单击“桌面共享”页签。

步骤3:单击<新建>按钮。

步骤4:进入如下配置,如下图所示。

l              输入资源名称为“desktop”。

l              输入远程主机为“10.153.70.120”。

l              输入服务端口为“3389”。

l              输入本地主机为“127.0.0.2”。

l              输入本地端口为“20000”。

l              输入命令行为“mstsc /v 127.0.0.2:20000”。

步骤5:单击<确定>按钮完成操作。

图4-10 配置桌面共享服务资源

 

(3)        配置IP网络资源的全局参数。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”,进入“全局配置”页签的页面。

步骤2:进行如下配置,如下图所示。

l              输入起始IP为“192.168.0.1”。

l              输入终止IP为“192.168.0.100”。

l              输入子网掩码为“24”。

l              输入网关地址为“192.168.0.101”。

步骤3:单击<确定>按钮完成操作。

图4-11 配置IP网络资源的全局参数

 

(4)        配置用户通过IP网络接入方式可以访问的主机资源sec_srv。

步骤1:单击“主机配置”页签。

步骤2:单击<新建>按钮。

步骤3:输入资源名为“sec_srv”。

步骤4:在“允许访问的网络服务”中单击<新建>按钮。

步骤5:在弹出的窗口中进行如下配置,如下图所示。

l              输入目的地址为“10.153.2.0”。

l              输入子网掩码为“24”。

l              选择协议类型为“IP”。

l              输入描述信息为“10.153.2.0/24”。

步骤6:单击<确定>按钮向该主机资源中添加一个允许访问的网络服务。

图4-12 配置允许访问的网络访问

 

步骤7:在“快捷方式”中单击<新建>按钮。

步骤8:在弹出的窗口中进行如下配置,如下图所示。

l              输入快捷方式名称为“ftp_security-server”。

l              输入快捷方式命令为“ftp 10.153.2.25”。

步骤9:单击<确定>按钮向该主机资源中添加一个快捷方式。

图4-13 配置允许访问的网络访问

 

步骤10:完成上述配置后的新建主机资源页面如下图所示,单击<确定>按钮完成操作。

图4-14 配置主机资源

 

(5)        配置资源组res_gr1,包含资源desktop。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > 资源组”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

l              输入资源组名为“res_gr1”。

l              在可用资源中选中“desktop”,单击“<<”按钮。

步骤4:单击<确定>按钮完成操作。

图4-15 配置资源组res_gr1

 

(6)        配置资源组res_gr2,包含资源tech和sec_srv。

步骤1:在资源组的显示页面单击<新建>按钮。

步骤2:进行如下配置,如下图所示。

l              输入资源组名为“res_gr2”。

l              在可用资源中选中“sec_srv”和“tech”,单击“<<”按钮。

步骤3:单击<确定>按钮完成操作。

图4-16 配置资源组res_gr2

 

4.2.3  配置SSL VPN用户

(1)        配置本地用户usera。

步骤1:在导航栏中选择“VPN > SSL VPN > 用户管理 > 本地用户”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

l              输入用户名为“usera”。

l              输入用户密码为“passworda”。

l              输入密码确认为“passworda”。

l              选中“启用公共账号”前的复选框。

l              输入公共账号允许登录的最大用户数为“1”。

l              选择用户状态为“允许”。

步骤4:单击<确定>按钮完成操作。

图4-17 配置本地用户usera

 

(2)        配置用户组user_gr1,包含资源组res_gr1和本地用户usera。

步骤1:在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户组”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

l              输入用户组名为“user_gr1”。

l              在可用资源组中选中“res_gr1”,单击“<<”按钮。

l              在可用本地用户中选中“usera”,单击“<<”按钮。

步骤4:单击<确定>按钮完成操作。

图4-18 配置用户组user_gr1

 

(3)        配置用户组user_gr2,包含资源组res_gr2。

步骤1:在用户组的显示页面单击<新建>按钮。

步骤2:进行如下配置,如下图所示。

l              输入用户组名为“user_gr2”。

l              在可用资源组中选中“res_gr2”,单击“<<”按钮。

步骤3:单击<确定>按钮完成操作。

图4-19 配置用户组user_gr2

 

4.2.4  配置SSL VPN域

(1)        配置SSL VPN域的默认认证方式为RADIUS认证,并启用校验码验证。

步骤1:在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”。

步骤2:进行如下配置,如下图所示。

l              选中“启用校验码验证”前的复选框。

l              选择默认认证方式为“RADIUS认证”。

步骤3:单击<确定>按钮完成操作。

图4-20 配置域策略

 

(2)        配置RADIUS方案system。

步骤1:在导航栏中选择“用户管理 > RADIUS”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置。

l              输入方案名称为“system”。

l              选择服务类型为“Extended”。

l              选择用户名格式为“不带域名”。

步骤4:在RADIUS服务器配置中单击<添加>按钮。

步骤5:在弹出的页面上进行如下配置,如下图所示。

l              选择服务器类型为“主认证服务器”。

l              输入IP地址为“10.153.10.131”。

l              输入端口为“1812”。

l              输入密钥为“expert”。

l              输入确认密钥为“expert”。

步骤6:单击<确定>按钮向RADIUS方案中添加一个主认证服务器。

图4-21 配置主认证服务器

 

步骤7:完成上述配置后的新建RADIUS方案页面如下图所示,单击<确定>按钮完成操作。

图4-22 配置RADIUS方案system

 

(3)        对SSL VPN域启用RADIUS认证。

步骤1:在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

步骤2:单击“RADIUS认证”页签。

步骤3:如下图所示,选中“启用RADIUS认证”前的复选框。

步骤4:单击<确定>按钮完成操作。

图4-23 启用RADIUS认证

 

4.3  配置结果验证

完成上述配置后,SSL VPN用户在其主机上启动浏览器,在浏览器的地址栏中输入“https://10.1.1.1/svpn/”后回车,进入SSL VPN的登录页面,如下图所示,可以看到默认的认证方式(即类别)为RADIUS,并且需要输入验证码。

图4-24 SSL VPN登录页面

暂无评论

3 个回答
粉丝:3人 关注:0人

什么型号的路由器

暂无评论

粉丝:160人 关注:1人


链接:http://www.h3c.com/cn/d_201108/723700_30005_0.htm

暂无评论

zhiliao_KcSJL 知了小白
粉丝:0人 关注:0人

msr3640

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明