华三防火墙配置完ssl vpn,想要通过域名来访问内部服务器,这个需要怎么操作?
- 0关注
- 0收藏,56浏览
1. 先完成基础资源校验:将内部服务器对应的Web代理/TCP接入资源添加到SSL VPN实例,关联给SSL VPN用户所属角色,完成资源授权。
2. 配置域名解析能力二选一:
方案A(对接内部DNS):给SSL VPN虚拟地址池推送内部DNS地址,命令:
ssl-vpn ip-pool 自定义地址池名
dns-server 内部DNS服务器私网IP
方案B(防火墙本地静态映射,无需额外内部DNS):在SSL VPN实例下配置专属域名映射,命令:
ssl-vpn context 你的SSL VPN实例名
host 内部服务器域名 内部服务器私网真实IP
3. 放行安全策略:配置安全策略,源区域为SSL VPN接入域、目的区域为内部服务器所在域,放通对应访问权限。
4. 若需要公网用户通过域名先访问SSL VPN网关,额外在公网DNS将SSL VPN访问域名解析到防火墙公网接口IP,防火墙开启SSL VPN服务监听在公网接口即可。
5. 客户端接入SSL VPN后执行nslookup校验域名解析结果,确认返回内部服务器私网IP即可直接用域名访问。
方案A的话是需要有内部dns服务器吗?
想让 SSL VPN 用户通过域名(而不是 IP 地址)访问内部服务器,通常有 Web 资源发布和 IP 网络层接入两种模式,现在用得较多的是 IP 接入模式。选择好模式后,再为客户端正确配置 DNS 服务器即可。
⚙️ 方案选择与实现
接入模式 客户端体验 核心配置思路 依赖的DNS
Web 资源发布 登录网页选择一个链接来访问 添加 web-resource 时,URL 直接改用域名(如 ***.***) 防火墙本身要能解析该域名到内网服务器IP
IP 接入 (推荐) 像连上内网一样用自己的电脑访问 给客户端分配 IP 和 DNS 地址池,再配置路由 推送内网的 DNS 服务器地址给客户端
模式一:Web 资源发布 (易用,适合 B/S 架构)
配置时,将内部 Web 应用的地址改为域名即可。
配置示例:在 SSL VPN 实例视图下的命令行如下。
text
[H3C] sslvpn context vpn1
[H3C-sslvpn-context-vpn1] web-resource oa-system
[H3C-sslvpn-context-vpn1-web-resource-oa-system] url ***.***
关键前提:需要在防火墙系统视图中配置 DNS 服务器(如 dns server 192.168.1.1),否则设备无法解析域名。
模式二:IP 接入(推荐,体验最佳最灵活)
这是推荐方案,体验就像电脑直接插在了公司内网,支持所有应用。
核心配置:在配置 SSL VPN 地址池时,同时为客户端指定 DNS 服务器。
text
# 创建SSL VPN访问实例
[H3C] sslvpn context vpn1
# 引用IP隧道接口和地址池
[H3C-sslvpn-context-vpn1] ip-tunnel interface SSLVPN-AC1
[H3C-sslvpn-context-vpn1] ip-tunnel address-pool ssl-pool1 mask 255.255.255.0
# 推送内网DNS地址给客户端
[H3C-sslvpn-context-vpn1] ip-tunnel dns-server primary 192.168.1.1
[H3C-sslvpn-context-vpn1] ip-tunnel dns-server secondary 192.168.1.2
路由和策略:别忘了配置内网路由(ip-route-list)和关联的 ACL 安全策略。完成配置后,用户连接 VPN 后可直接用域名访问内部服务器。
💡 补充功能:动态域名解析 (DDNS)
如果防火墙的公网 IP 非固定(例如通过 PPPoE 拨号),为了让外网用户找到 SSL VPN 网关,可以配置 DDNS 将动态 IP 绑定到一个固定域名(如 ***.***)。
🔧 配置后检查与排错
如果配置后问题依旧,可以从以下几点检查:
检查认证授权:确认用户的策略组已正确关联到包含该域名的资源组。
检查DNS是否推送成功:可以运行 ipconfig /all (Windows) 或 cat /etc/resolv.conf (Linux/macOS) 确认是否推送了内网 DNS 服务器。
验证防火墙策略:检查防火墙策略是否放行了从 SSL VPN 地址池到内网 DNS 服务的流量(UDP 53 端口)。
要让SSL VPN用户通过域名(而不是IP)访问内部服务器,核心思路是“选择一种接入模式并配上域名解析”。你可根据业务需求,从以下两种方案中选择。
方案对比
两种方案都能实现需求,可按需选择。
| 接入模式 | 适用场景 | 域名配置方式 |
|---|---|---|
| IP 接入 (推荐) | 体验最佳,适用于所有C/S或B/S应用,如同在办公室内网。 | 在SSL VPN地址池中,将内部DNS服务器地址(方案A)或防火墙本地域名映射(方案B)推送给客户端。 |
| Web 资源发布 | 轻量快捷,无需客户端,通过浏览器即可访问内部Web系统。 | 在Web资源中,将内部服务器的访问链接直接改为域名。 |
方案一:IP 接入模式 (推荐)
此方案涉及基础配置、域名解析配置和安全策略放行三步。
1. 基础配置:完成SSL VPN网关、实例、用户和地址池的创建。
2. 域名解析配置(二选一):推内网DNS(推荐)或配置本地域名映射。
方案A:对接内部DNS(推荐,便于统一管理)
[H3C-sslvpn-context-<实例名>] ip-tunnel address-pool <地址池名> dns-server <内部DNS服务器私网IP>[H3C] sslvpn context <你的SSL VPN实例名>方案B:防火墙本地静态映射
如果无内部DNS服务器,可在SSL VPN实例下添加本地域名映射。[H3C-sslvpn-context-<实例名>] host <内部服务器域名> <内部服务器真实IP>注意:此命令在防火墙不同软件版本中可能存在差异。建议先使用[H3C] sslvpn context <你的SSL VPN实例名>host ?查看帮助,以确认具体命令格式。若本方案不生效,请使用方案A。
3. 安全策略:需放行
Untrust域(SSL VPN网关接口)到Local域(TCP 4433),以及Untrust域到内部服务器所在域(如Trust)的流量。
方案二:Web 资源发布模式
更轻量,无需客户端,但仅限Web应用(如OA, ERP)。
创建Web资源:使用以下命令创建一个内部Web资源。
[H3C-sslvpn-context-<实例名>] web-resource <资源名>[H3C] sslvpn context <你的SSL VPN实例名>指定域名URL:在资源视图下,直接配置URL为域名。
[H3C-sslvpn-context-<实例名>-web-resource-<资源名>] url <http://内部服务器域名>前提-DNS配置:防火墙本身必须能解析该域名。在系统视图下配置:
[H3C] dns server <有效的DNS服务器IP>
放行安全策略(按需配置)
请根据你的接入模式和安全域,确保以下流量被允许。
策略1:允许外网SSL VPN拨入流量(两种模式均需)
[H3C] security-policy ip[H3C-security-policy-ip] rule name SSLVPN_Access [H3C-security-policy-ip-rule-SSLVPN_Access] source-zone Untrust [H3C-security-policy-ip-rule-SSLVPN_Access] destination-zone Local [H3C-security-policy-ip-rule-SSLVPN_Access] service tcp destination 4433 [H3C-security-policy-ip-rule-SSLVPN_Access] action pass策略2:允许SSL VPN用户访问内网资源
IP接入模式:放行
Untrust到内部服务器安全域。Web访问模式:放行
Local到内部服务器安全域。
erp.company.local)访问内部服务器,核心是给 SSL VPN 用户推送内网 DNS + 配置域名解析 + 放通权限,不用公网域名。下面分原理、配置、验证三部分讲清楚。一、核心原理
- DNS 解析:把内网域名(如
erp.company.local)解析成内网 IP(如192.168.1.10)。 - 路由可达:SSL VPN 网段和内网网段路由互通。
- 权限放通:安全策略允许 VPN 用户访问内网资源。
二、详细配置步骤(Web 界面 + 命令行)
准备信息
- 内网 DNS:如
192.168.1.5(企业 AD/DNS 服务器) - 内网域名:
company.local - 内网服务器:
erp.company.local → 192.168.1.10 - SSL VPN 地址池:
10.10.10.0/24
1. 配置防火墙 DNS(指向内网 DNS)
Web 界面
- 网络 → 基础网络 → DNS 服务 → DNS 服务器
- 新增:首选 DNS 填内网 DNS IP(
192.168.1.5),备用可填公网 DNS
命令行
system-view
dns server 192.168.1.5 # 内网DNS
dns proxy enable # 开启DNS代理(关键)
2. SSL VPN 网关推送内网 DNS(必配)
Web 界面
- 网络 → SSL VPN → 网关 → 编辑网关
- 基本配置 → DNS 设置:填写内网 DNS IP(
192.168.1.5) - 保存后,VPN 用户接入会自动获取该 DNS
命令行
system-view
sslvpn gateway mygateway
dns 192.168.1.5 # 推给VPN用户的DNS
3. 配置静态域名映射(无内网 DNS 时用,可选)
命令行
system-view
ip host erp.company.local 192.168.1.10 # 域名→内网IP
4. 放通安全策略(VPN→内网)
Web 界面
- 策略 → 安全策略 → 新建
- 源安全域:
SSLVPN;目的安全域:Trust;动作:允许 - 源地址:SSL VPN 地址池(
10.10.10.0/24);目的地址:内网网段(192.168.1.0/24)
命令行
system-view
acl advanced 3000
rule permit ip source 10.10.10.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
security-policy
rule name SSLVPN-to-Trust
source-zone sslvpn
destination-zone trust
source-address acl 3000
action permit
5. 确保路由互通
ip route-static 192.168.1.0 255.255.255.0 192.168.1.1 # 内网网关
三、用户端验证
- 接入 SSL VPN 后,在电脑执行:cmd
nslookup erp.company.local # 解析出192.168.1.10 ping erp.company.local # 能ping通内网IP - 浏览器直接访问
http://erp.company.local即可。
四、常见问题排查
- 域名解析失败
- 检查 VPN 网关是否推送内网 DNS
- 防火墙
dns proxy enable是否开启 - 内网 DNS 是否允许 VPN 网段(
10.10.10.0/24)查询
- 能解析但无法访问
- 安全策略是否放通
SSLVPN→Trust - 内网服务器防火墙是否放行端口(如 80、443)
- 安全策略是否放通
五、总结
ip host静态映射即可。编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
方案A的话是需要有内部dns服务器吗?