• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F1000-AI SSL VPN配置不成功

2021-08-18提问
  • 0关注
  • 1收藏,1364浏览
粉丝:0人 关注:0人

问题描述:

按轻松配和官网指导文档 sslvpn ip add sslpool 10.10.10.2 10.10.10.254就报错了 请问哪位有配置案例

最佳答案

粉丝:40人 关注:7人

dis version看下防火墙是什么版本的。

V5版本的可参考如下WEB界面的配置看下:

1.5.3  SSL VPN典型配置举例

1. 组网需求

在SSL VPN中,为了普通用户能够以HTTPS方式登录SSL VPN网关的Web页面,通过SSL VPN网关管理和访问企业内部资源,需要为SSL VPN网关申请证书,并启用SSL VPN服务。

在本配置举例中:

·            SSL VPN网关的地址为10.1.1.1/24,为SSL VPN网关和远程接入用户颁发证书的CA(Certificate Authority,证书颁发机构)地址为10.2.1.1/24,CA名称为CA server。

·            对SSL VPN用户进行RADIUS认证,由一台CAMS/iMC服务器(IP地址为10.153.10.131/24)担当RADIUS认证服务器。SSL VPN用户通过认证后,可以访问公司内部提供技术网站(IP地址为10.153.1.223);可以访问10.153.2.0/24网段中的所有主机,并可以通过FTP协议快捷访问Security Server(IP地址为10.153.2.25)。

·            提供一个公共账号usera,对其进行本地认证(不进行RADIUS认证),且最多允许1个用户同时使用该公共账号登录。用户通过该公共账号登录SSL VPN后,可以访问公司内部主机10.153.70.120的共享桌面。

·            SSL VPN域的默认认证方式为RADIUS认证,并且启用校验码验证。

图1-58 SSL VPN配置组网图

 

2. 配置步骤

说明

·         本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

·         进行下面的配置之前,需要确保SSL VPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书。

·         进行下面的配置之前,需要确保已完成RADIUS服务器的配置,保证用户的认证功能正常运行。本例中,RADIUS服务器上需要配置共享密钥为expert;还需要配置用户账户信息及用户所属的用户组属性,将用户划分到用户组“user_gr2”中。

 

(1)       配置SSL VPN服务

·            配置PKI实体en。

步骤1:在导航栏中选择“VPN > 证书管理 > PKI实体”。

步骤2:单击<新建>按钮。

步骤3:如下图所示,输入PKI实体名称为“en”,输入通用名为“http-server”。

步骤4:单击<确定>按钮完成操作。

图1-59 配置PKI实体en

 

·            配置PKI域sslvpn。

步骤1:在导航栏中选择“VPN > 证书管理 > PKI域”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

¡  输入PKI域名称为“sslvpn”。

¡  输入CA标识符为“CA server”。

¡  选择本端实体为“en”。

¡  选择注册机构为“RA”。

¡  输入证书申请URL为“http://10.2.1.1/certsrv/mscep/mscep.dll”。

¡  选择证书申请方式为“Manual”。

步骤4:单击<确定>按钮,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”

步骤5:单击对话框中的<确定>按钮完成操作。

图1-60 配置PKI域sslvpn

 

·            生成RSA密钥对。

步骤1:在导航栏中选择“VPN > 证书管理 > 证书”。

步骤2:单击<创建密钥>按钮。

步骤3:如下图所示,输入密钥长度为“1024”。

步骤4:单击<确定>按钮开始生成RSA密钥对。

图1-61 生成RSA密钥对

 

·            获取CA证书至本地。

步骤1:生成密钥对成功后,在证书列表页面单击<获取证书>按钮。

步骤2:如下图所示,选择PKI域为“sslvpn”,选择证书类型为“CA”。

步骤3:单击<确定>按钮开始获取CA证书。

图1-62 获取CA证书至本地

 

·            申请本地证书。

步骤1:获取CA证书成功后,在证书列表页面单击<申请证书>按钮。

步骤2:如下图所示,选择PKI域名称为“sslvpn”。

图1-63 申请本地证书

 

步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。

步骤4:单击提示框中的<确定>按钮完成操作。

步骤5:完成上述配置后,在证书列表页面可以看到获取到的CA证书和本地证书,如下图所示。

图1-64 获取到的CA证书和本地证书

 

·            启用SSL VPN,并配置SSL VPN服务的端口号和使用的PKI域。

步骤1:在导航栏中选择“VPN > SSL VPN > 服务管理”。

步骤2:进行如下配置,如下图所示。

¡  选中“启用SSL VPN”前的复选框。

¡  输入端口为“443”。

¡  选择PKI域为“sslvpn”。

步骤3:单击<确定>安全完成操作。

图1-65 配置SSL VPN服务

 

(2)       配置SSL VPN访问资源

·            配置访问公司内部技术网站的Web代理服务器资源tech。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > Web代理”。

步骤2:单击<新建>按钮。

步骤3:如下图所示,输入资源名称为“tech”,输入站点地址为“http://10.153.1.223/”。

步骤4:单击<确定>按钮完成操作。

图1-66 配置Web代理服务器资源

 

·            配置主机10.153.70.120的桌面共享服务资源desktop。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

步骤2:单击“桌面共享”页签。

步骤3:单击<新建>按钮。

步骤4:进入如下配置,如下图所示。

¡  输入资源名称为“desktop”。

¡  输入远程主机为“10.153.70.120”。

¡  输入服务端口为“3389”。

¡  输入本地主机为“127.0.0.2”。

¡  输入本地端口为“20000”。

¡  输入命令行为“mstsc /v 127.0.0.2:20000”。

步骤5:单击<确定>按钮完成操作。

图1-67 配置桌面共享服务资源

 

·            配置IP网络资源的全局参数。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”,进入“全局配置”页签的页面:。

步骤2:进行如下配置,如下图所示。

¡  输入起始IP为“192.168.0.1”。

¡  输入终止IP为“192.168.0.100”。

¡  输入子网掩码为“24”。

¡  输入网关地址为“192.168.0.101”。

步骤3:单击<确定>按钮完成操作。

图1-68 配置IP网络资源的全局参数

 

·            配置用户通过IP网络接入方式可以访问的主机资源sec_srv。

步骤1:单击“主机配置”页签。

步骤2:单击<新建>按钮。

步骤3:输入资源名为“sec_srv”。

步骤4:在“允许访问的网络服务”中单击<新建>按钮。

步骤5:在弹出的窗口中进行如下配置,如下图所示。

¡  输入目的地址为“10.153.2.0”。

¡  输入子网掩码为“24”。

¡  选择协议类型为“IP”。

¡  输入描述信息为“10.153.2.0/24”。

步骤6:单击<确定>按钮向该主机资源中添加一个允许访问的网络服务。

图1-69 配置允许访问的网络访问

 

步骤7:在“快捷方式”中单击<新建>按钮。

步骤8:如下图所示,输入快捷方式名称为“ftp_security-server”,输入快捷方式命令为“ftp 10.153.2.25”。

步骤9:单击<确定>按钮向该主机资源中添加一个快捷方式。

图1-70 配置允许访问的网络访问

 

步骤10:完成上述配置后的新建主机资源页面如下图所示,单击<确定>按钮完成操作。

图1-71 配置主机资源

 

·            配置资源组res_gr1,包含资源desktop。

步骤1:在导航栏中选择“VPN > SSL VPN > 资源管理 > 资源组”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

¡  输入资源组名为“res_gr1”。

¡  在可用资源中选中“desktop”,单击“<<”按钮。

步骤4:单击<确定>按钮完成操作。

图1-72 配置资源组res_gr1

 

·            配置资源组res_gr2,包含资源tech和sec_srv。

步骤1:在资源组列表页面单击<新建>按钮。

步骤2:进行如下配置,如下图所示。

¡  输入资源组名为“res_gr2”。

¡  在可用资源中选中“sec_srv”和“tech”,单击“<<”按钮。

步骤3:单击<确定>按钮完成操作。

图1-73 配置资源组res_gr2

 

(3)       配置SSL VPN用户

·            配置本地用户usera。

步骤1:在导航栏中选择“VPN > SSL VPN > 用户管理 > 本地用户”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

¡  输入用户名为“usera”。

¡  输入用户密码为“passworda”。

¡  输入密码确认为“passworda”。

¡  选中“启用公共账号”前的复选框。

¡  输入公共账号允许登录的最大用户数为“1”。

¡  选择用户状态为“允许”。

步骤4:单击<确定>按钮完成操作。

图1-74 配置本地用户usera

 

·            配置用户组user_gr1,包含资源组res_gr1和本地用户usera。

步骤1:在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户组”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

¡  输入用户组名为“user_gr1”。

¡  在可用资源组中选中“res_gr1”,单击“<<”按钮。

¡  在可用本地用户中选中“usera”,单击“<<”按钮。

步骤4:单击<确定>按钮完成操作。

图1-75 配置用户组user_gr1

 

·            配置用户组user_gr2,包含资源组res_gr2。

步骤1:在用户组列表页面单击<新建>按钮。

步骤2:进行如下配置,如下图所示。

¡  输入用户组名为“user_gr2”。

¡  在可用资源组中选中“res_gr2”,单击“<<”按钮。

步骤3:单击<确定>按钮完成操作。

图1-76 配置用户组user_gr2

 

(4)       配置SSL VPN域

·            配置SSL VPN域的默认认证方式为RADIUS认证,并启用校验码验证。

步骤1:在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”。

步骤2:如下图所示,选中“启用校验码验证”前的复选框,选择默认认证方式为“RADIUS认证”。

步骤3:单击<确定>按钮完成操作。

图1-77 配置域策略

 

·            配置RADIUS方案system。

步骤1:在导航栏中选择“用户管理 > RADIUS”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置。

¡  输入方案名称为“system”。

¡  选择服务类型为“Extended”。

¡  选择用户名格式为“不带域名”。

步骤4:在RADIUS服务器配置中单击<添加>按钮。

步骤5:在弹出的页面上进行如下配置,如下图所示。

¡  选择服务器类型为“主认证服务器”。

¡  输入IP地址为“10.153.10.131”。

¡  输入端口为“1812”。

¡  输入密钥为“expert”。

¡  输入确认密钥为“expert”。

步骤6:单击<确定>按钮向RADIUS方案中添加一个主认证服务器。

图1-78 配置主认证服务器

 

步骤7:完成上述配置后的新建RADIUS方案页面如下图所示,单击<确定>按钮完成操作。

图1-79 配置RADIUS方案system

 

·            对SSL VPN域启用RADIUS认证。

步骤1:在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

步骤2:单击“RADIUS认证”页签。

步骤3:如下图所示,选中“启用RADIUS认证”前的复选框。

步骤4:单击<确定>按钮完成操作。

图1-80 启用RADIUS认证

 

3. 配置结果验证

完成上述配置后,SSL VPN用户在其主机上启动浏览器,在浏览器的地址栏中输入“https://10.1.1.1/svpn/”后回车,进入SSL VPN的登录页面,如下图所示,可以看到默认的认证方式(即类别)为RADIUS,并且需要输入验证码。

图1-81 SSL VPN登录页面

 

用户使用公共账号usera登录SSL VPN,登录时类别参数设置为“Local”。usera登录SSL VPN后,可以看到其可访问的资源desktop,如图1-82所示。单击此资源名称,即可弹出如图1-83所示的窗口,访问指定主机的共享桌面。

图1-82 公共账号usera可访问的资源

 

图1-83 访问桌面共享资源

 

假设RADIUS服务器上配置了属于用户组“user_gr2”的RADIUS用户“userb”,用户使用该账号登录SSL VPN,登录时类别参数采用默认值“RADIUS”。userb登录SSL VPN后,可以看到其可访问的资源包括有Web站点资源tech、10.153.2.0/24网段的所有主机,以及通过FTP访问Security Server,如图1-84所示。单击tech资源名称,即可弹出技术网站的访问窗口;单击快捷方式ftp_security-server,即可弹出如图1-85所示的窗口,通过FTP协议访问Security Server。

图1-84 非公共账号可访问的资源

 

图1-85 访问IP网络资源

暂无评论

3 个回答

参考官网典配可以正常配置,是否配置该条命令的视图不对

暂无评论

粉丝:11人 关注:2人

sslvpn ip address-pool sslvpnpool 10.10.10.2 10.10.10.254

命令补全试一下 

暂无评论

粉丝:0人 关注:1人

sslvpn ip address-pool sslvpnpool 10.10.10.2 10.10.10.254

敲这行命令的时候报如下错误


The IP address range can't overlap with an existing IP address range


暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明