SECPATH F1000-AK115防火墙sslVPN问题
- 0关注
- 1收藏,1205浏览
问题描述:
SECPATH F1000-AK115防火墙设置SSLvpn,连上以后可以访问内网资源,但是公网地址不会改变,能否设置,VPN客户端公网地址也变成防火墙出口地址,需要改变公网地址。
- 2020-02-12提问
- 举报
-
(0)
最佳答案
没有理解什么意思,是向VPN拨入后,终端访问公网的时候使用防火墙公网IP地址嘛?
- 2020-02-12回答
- 评论(3)
- 举报
-
(0)
是的,就是这个意思,能否实现。
可以实现,试试配置一条命令。拨入VPN后会下发一条默认路由。这样的话,应该可以,试试吧。 创建IP接入服务资源 说明 对于M9000来说,如果选择IP接入方式,需要在与内网服务器相连的接口上配置出方向动态地址转换,详细配置请参见“NAT配置指导”中的“NAT”。 为了使用户能够通过IP接入方式访问企业内网资源,SSL VPN网关上需要创建IP接入服务资源,创建方法为: (1) 创建SSL VPN AC接口,为其配置IP地址,并指定SSL VPN访问实例引用的SSL VPN AC接口。 (2) 创建地址池,并在SSL VPN访问实例视图下引用地址池。AAA服务器将某个策略组授权给SSL VPN用户后,SSL VPN网关会从该访问实例引用的地址池中选择IP地址分配给客户端。 (3) 在SSL VPN策略组视图下配置下发给客户端的路由表项。AAA服务器将某个策略组授权给SSL VPN用户后,SSL VPN网关会将该策略组下配置的路由表项下发给客户端。下发的路由表项具有三种配置方法: ¡ 直接配置路由表项:用于将一条路由下发给客户端。 ¡ 配置路由列表:用于将路由列表中的多条路由同时下发给客户端。 ¡ 强制将客户端的流量转发给SSL VPN网关(指定force-all参数):SSL VPN网关在客户端上添加优先级最高的缺省路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省路由,且不允许SSL VPN客户端添加优先级高于此路由的缺省路由。 (4) 管理员还可以在SSL VPN网关上配置保活报文的发送时间间隔、为客户端指定的内网DNS服务器地址和内网WINS服务器地址。 需要注意的是,为了使内部服务器的应答报文正确返回给SSL VPN客户端,在内部服务器上需要配置到达SSL VPN客户端虚拟网卡所在网段的静态路由。 表1-7 创建IP接入服务资源 操作 命令 说明 进入系统视图 system-view - 创建SSL VPN AC接口,并进入SSL VPN AC接口视图 interface sslvpn-ac interface-number 缺省情况下,设备上不存在SSL VPN AC接口 配置接口的IP地址 ip address ip-address { mask | mask-length } 缺省情况下,没有指定接口的IP地址 (可选)配置接口的期望带宽 bandwidth bandwidth-value 缺省情况下,接口的期望带宽为64kbps (可选)配置当前接口的描述信息 description text 缺省情况下,接口的描述信息为“接口名 Interface”,例如:SSLVPN-AC1000 Interface (可选)配置接口的MTU值 mtu size 缺省情况下,接口的MTU值为1500 (可选)恢复当前接口的缺省配置 default - 开启当前接口 undo shutdown 缺省情况下,SSL VPN AC接口均处于开启状态 退回系统视图 quit - 创建地址池 sslvpn ip address-pool pool-name start-ip-address end-ip-address 缺省情况下,设备上不存在地址池 进入SSL VPN访问实例视图 sslvpn context context-name - 配置IP接入引用的SSL VPN AC接口 ip-tunnel interface sslvpn-ac interface-number 缺省情况下,IP接入未引用SSL VPN AC接口 创建路由列表,并进入路由列表视图 ip-route-list list-name 缺省情况下,设备上不存在路由列表 在路由列表中添加路由 include ip-address { mask-length | mask } 缺省情况下,路由列表中不存在路由 退回SSL VPN访问实例视图 quit - 配置IP接入引用地址池 ip-tunnel address-pool pool-name mask { mask-length | mask } 缺省情况下,IP接入未引用地址池 (可选)配置保活报文的发送时间间隔 ip-tunnel keepalive seconds 缺省情况下,保活报文的发送时间间隔为30秒 (可选)配置为客户端指定的内网DNS服务器地址 ip-tunnel dns-server { primary | secondary } ip-address 缺省情况下,没有配置为客户端指定的DNS服务器地址 (可选)配置为客户端指定的内网WINS服务器地址 ip-tunnel wins-server { primary | secondary } ip-address 缺省情况下,没有配置为客户端指定的WINS服务器地址 进入SSL VPN策略组视图 policy-group group-name - 配置下发给客户端的路由表项 ip-tunnel access-route { ip-address { mask-length | mask } | force-all | ip-route-list list-name } 缺省情况下,未指定下发给客户端的路由表项
这样,简单来讲,在sslvpn的context下的policy-group组下配置:ip-tunnel access-route force-all
你的意思是不是,客户端拨成功后,访问互联网的路径变成先到AK115,再到互联网了? 你想改成,访问VPN的时候才走AK115,访问互联网的时候,就直接走客户端自己的公网?
- 2020-02-12回答
- 评论(4)
- 举报
-
(0)
客户端通过什么上网好像关系不大吧。
我的意思事,客户端拨成功后,访问互联网的路径变成先到AK115,再到互联网了。就是访问VPN后,客户端的流量经过AK115出口.这样访问其他资源可以设置AK115的IP地址做白名单。
不知道是否可以实现
你的客户端是通过什么上网的?
客户端通过什么上网好像关系不大吧。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
这样,简单来讲,在sslvpn的context下的policy-group组下配置:ip-tunnel access-route force-all