问题描述:
您好!
我这里有一台H3C MSR30-20 Version 5.20, Release 2104P02, Basic。
我想用电脑通过vpn远程连接到公司网络中,请问该使用哪种网络协议?这台设备支持哪些vpn协议?
还有就是,我这台路由器在出接口上配置了两个固定IP
port link-mode route
nat outbound static
nat outbound 3000
ip address 140.206.72.97 255.255.255.224
ip address 27.115.75.38 255.255.255.252 sub
ipsec no-nat-process enable
静态路由ip route-static 0.0.0.0 0.0.0.0 27.115.75.37
请问,有大佬可以指教吗?
- 2019-12-03提问
- 举报
-
(0)
最佳答案
设备支持IPSEC、L2TP、SSL、GRE等VPN。
移动终端远程接入首选SSL vpn:
V5版本:
SSL VPN典型配置举例
1. 组网需求
在SSL VPN中,为了使普通用户能够以HTTPS方式登录SSL VPN网关的Web页面,通过SSL VPN网关访问企业内部资源,需要在SSL VPN网关上进行SSL相关配置,并使能SSL VPN服务。
在本配置举例中:
· SSL VPN网关的地址为10.1.1.1/24;
· 为SSL VPN网关和远程接入用户颁发证书的CA(Certificate Authority,证书颁发机构)地址为10.2.1.1/24,CA名称为CA server。
2. 组网图
图1-2 SSL VPN配置组网图
3. 配置步骤
· 本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。
· 进行下面的配置之前,需要确保SSL VPN网关、CA和远程接入用户使用的主机Host之间的路由可达,并确保CA上启用了证书服务,可以为设备和主机颁发证书。
(1) 为SSL VPN网关Device申请证书
# 配置PKI实体en,指定实体的通用名为http-server。
<Device> system-view
[Device] pki entity en
[Device-pki-entity-en] common-name http-server
[Device-pki-entity-en] quit
# 配置PKI域sslvpn,指定信任的CA名称为ca server、注册服务器的URL为http://10.2.1.1/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。
[Device] pki domain sslvpn
[Device-pki-domain-sslvpn] ca identifier ca server
[Device-pki-domain-sslvpn] certificate request url http://10.2.1.1/certsrv/mscep/mscep.dll
[Device-pki-domain-sslvpn] certificate request from ra
[Device-pki-domain-sslvpn] certificate request entity en
[Device-pki-domain-sslvpn] quit
# 生成本地的RSA密钥对。
[Device] public-key local create rsa
# 获取CA的证书。
[Device] pki retrieval-certificate ca domain sslvpn
# 为Device申请证书。
[Device] pki request-certificate domain sslvpn
(2) 配置SSL VPN服务使用的SSL服务器端策略
# 创建SSL服务器端策略myssl,并指定该策略使用PKI域sslvpn。
[Device] ssl server-policy myssl
[Device-ssl-server-policy-myssl] pki-domain sslvpn
[Device-ssl-server-policy-myssl] quit
(3) 配置SSL VPN
# 指定SSL VPN服务使用的SSL服务器端策略为myssl,端口号为缺省端口号443。
[Device] ssl-vpn server-policy myssl
# 使能SSL VPN服务。
[Device] ssl-vpn enable
(4) 验证配置结果
远程接入用户在终端主机Host上打开IE浏览器,输入网址https://10.1.1.1/svpn,即可打开SSL VPN网关Device的Web登录页面。
· PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”;
· public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”;
· SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL”。
· SSL VPN功能主要通过Web页面进行配置,详细介绍请参见《H3C MSR系列路由器 Web配置指导》中的“SSL VPN”。
V7版本: IP接入配置举例(缺省证书)
1. 组网需求
Device为SSL VPN网关设备,连接公网用户和企业私有网络。用户通过Device可以通过IP
接入方式安全地访问私有网络内的Server。Device采用本地认证和授权方式对用户进行认证和授权。
2. 组网图
图1-32 IP接入配置组网图(缺省证书)
3. 配置步骤
· 请确保SSL VPN用户和SSL VPN网关设备Device间的路由可达。
· 请确保SSL VPN网关设备Device与Server间的路由可达。
· Server上存在到达网段10.1.1.0/24的路由。
(1) 配置SSL VPN网关
# 配置SSL VPN网关gw的IP地址为1.1.1.2,端口号为4430。
<Device> system-view
[Device] sslvpn gateway gw
[Device-sslvpn-gateway-gw] ip address 1.1.1.2 port 4430
[Device-sslvpn-gateway-gw] service enable
[Device-sslvpn-gateway-gw] quit
(2) 创建SSL VPN客户端地址池
# 创建为SSL VPN客户端分配地址的地址池sslvpnpool,地址范围为10.1.1.1~10.1.1.10。
[Device] sslvpn ip address-pool sslvpnpool 10.1.1.1 10.1.1.10
(3) 创建SSL VPN AC接口
# 创建SSL VPN AC接口1,配置该接口的IP地址为10.1.1.100/24。
[Device] interface sslvpn-ac 1
[Device-SSLVPN-AC1] ip address 10.1.1.100 24
[Device-SSLVPN-AC1] quit
(4) 配置SSL VPN访问实例
# 配置SSL VPN访问实例ctxip,引用SSL VPN网关gw,指定域名为domainip。
[Device] sslvpn context ctxip
[Device-sslvpn-context-ctxip] gateway gw domain domainip
# 配置IP接入引用的SSL VPN AC接口1.
[Device-sslvpn-context-ctxip] ip-tunnel interface sslvpn-ac 1
# 创建路由表rtlist,并添加路由表项20.2.2.0/24。
[Device-sslvpn-context-ctxip] ip-route-list rtlist
[Device-sslvpn-context-ctxip-route-list-rtlist] include 20.2.2.0 24
[Device-sslvpn-context-ctxip-route-list-rtlist] quit
# 引用SSL VPN客户端地址池sslvpnpool。
[Device-sslvpn-context-ctxip] ip-tunnel address-pool sslvpnpool mask 24
# 创建SSL VPN策略组resourcegrp,引用路由列表rtlist,并同时配置对IP接入进行ACL过滤。
[Device-sslvpn-context-ctxip] policy-group resourcegrp
[Device-sslvpn-context-ctxip-policy-group-resourcegrp] ip-tunnel access-route ip-route-list rtlist
[Device-sslvpn-context-ctxip-policy-group-resourcegrp] filter ip-tunnel acl 3000
[Device-sslvpn-context-ctxip-policy-group-resourcegrp] quit
# 开启SSL VPN访问实例ctxip。
[Device-sslvpn-context-ctxip] service enable
[Device-sslvpn-context-ctxip] quit
# 创建ACL 3000,规则为允许源IP为10.1.1.0/24的报文访问目标IP网段20.2.2.0/24。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 20.2.2.0 0.0.0.255
[Device-acl-ipv4-adv-3000] quit
(5) 配置SSL VPN用户
# 创建本地SSL VPN用户sslvpnuser,密码为123456,用户角色为network-operator,授权用户的SSL VPN策略组为resourcegrp。
[Device] local-user sslvpnuser class network
[Device-luser-network-sslvpnuser] password simple 123456
[Device-luser-network-sslvpnuser] service-type sslvpn
[Device-luser-network-sslvpnuser] authorization-attribute sslvpn-policy-group resourcegrp
[Device-luser-network-sslvpnuser] authorization-attribute user-role network-operator
[Device-luser-network-sslvpnuser] quit
4. 验证配置
# 在Device上查看SSL VPN网关状态,可见SSL VPN网关gw处于Up状态。
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
IP: 1.1.1.2 Port: 4430
Front VPN instance: Not configured
# 在Device上查看SSL VPN访问实例状态,可见SSL VPN访问实例ctx处于Up状态。
[Device] display sslvpn context
Context name: ctxip
Operation state: Up
AAA domain: Not specified
Certificate authentication: Disabled
Password authentication: Enabled
Authentication use: All
Dynamic password: Disabled
Code verification: Disabled
Default policy group: Not configured
Associated SSL VPN gateway: gw
Domain name: domainip
Maximum users allowed: 1048575
VPN instance: Not configured
Idle timeout: 30 min
# SSL VPN用户sslvpnuser在PC浏览器上输入https://1.1.1.2:4430/,进入Domain List页面,如下图所示。
因为SSL VPN网关设备使用缺省证书(自签名),因此在访问SSL VPN网关的时候浏览器会提示非安全连接。
- 2019-12-03回答
- 评论(10)
- 举报
-
(0)
您好!请问我的公网地址该写140.206.72.97还是27.115.75.38?
我不知道您有没有帮我确认版本的问题,支持ssl vpn吗?
都可以,在出口接口上配置一条 ip last-hop hold即可
你这个是V5的,还真没注意,配置方法稍有区别:http://www.h3c.com/cn/d_201807/1094152_30005_0.htm
不支持ssl vpn
V5的路由器应当也是支持的,
从地址有回程路由是可以的,主地址如果有回程路由也可以的。一般看那个路由优先,写那个地址。
Routing Tables: Public Destinations : 17 Routes : 17 Destination/Mask Proto Pre Cost NextHop Interface 0.0.0.0/0 Static 60 0 27.115.75.37 GE0/0 10.170.0.0/16 Static 60 0 10.170.0.253 GE0/1 10.170.0.248/29 Direct 0 0 10.170.0.254 GE0/1 10.170.0.254/32 Direct 0 0 127.0.0.1 InLoop0 27.115.75.36/30 Direct 0 0 27.115.75.38 GE0/0 27.115.75.38/32 Direct 0 0 127.0.0.1 InLoop0 127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0 127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0 140.206.72.96/27 Direct 0 0 140.206.72.97 GE0/0 140.206.72.97/32 Direct 0 0 127.0.0.1 InLoop0 140.206.72.98/32 Static 1 0 0.0.0.0 NULL0 140.206.72.99/32 Static 1 0 0.0.0.0 NULL0 140.206.72.100/32 Static 1 0 0.0.0.0 NULL0 140.206.72.101/32 Static 1 0 0.0.0.0 NULL0 140.206.72.102/32 Static 1 0 0.0.0.0 NULL0 192.168.1.0/24 Direct 0 0 192.168.1.254 VT0 192.168.1.254/32 Direct 0 0 127.0.0.1 InLoop 麻烦您看一下,哪条是您说的回程路由,而我又该选哪个ip地址呢?
ipsec vpn l2tp vpn都可以啊
IPsec多分支经由总部互通 http://kms2.h3c.com/View.aspx?id=43349
MSR G2总部一个模板对应多分支,建立ipsec的配置案例 http://kms2.h3c.com/View.aspx?id=51189
MSR路由器通过WEB界面主模式ipsec VPN配置案例 http://kms2.h3c.com/View.aspx?id=43130
- 2019-12-03回答
- 评论(3)
- 举报
-
(0)
您好!我写的下一跳是27.115.75.37哦!确定对吗?
您好!请问我的公网地址该写140.206.72.97还是27.115.75.38?
140.206.72.97
您好!我写的下一跳是27.115.75.37哦!确定对吗?
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
请您看看上一条回复