华为防火墙SSL虚拟专网配置客户端所有访问流量路由全部走公司网络

一、SSL配置请参考华为案例：
组网需求
企业网络如图1所示，企业希望公司外的移动办公用户能够通过SSL**隧道访问公司内网的各种资源。
图1 移动办公用户使用SecoClient通过SSL **隧道访问企业内网

数据规划
项目

数据

接口

接口号：GigabitEthernet 0/0/1

IP地址：1.1.1.1/24

安全区域：Untrust

GigabitEthernet 0/0/2

IP地址：10.1.1.1/24

安全区域：Trust

虚拟网关

虚拟网关名称：ssl*

接口：GigabitEthernet 0/0/1

最大用户数：150

最大用户在线数：100

移动办公用户

用户名：user0001

密码：Password@123

网络扩展

网络扩展地址池：172.16.1.1～172.16.1.100

说明：
若内网服务器IP地址与网络扩展地址池的IP地址不在同一网段，需要在内网服务器上配置到网络扩展地址池的路由。

路由模式：手动

网络扩展用户可访问的内网网段：10.1.2.0/24

操作步骤
配置FW。
配置接口IP地址和安全区域，完成网络基本参数配置。
选择“网络 > 接口”。
单击GE0/0/1对应的，按如下参数配置。

安全区域

untrust

IPv4

IP地址

1.1.1.1/24

启用访问管理

HTTPS、Ping

单击“确定”。
参考上述步骤按如下参数配置GE0/0/2接口。

安全区域

trust

IPv4

IP地址

10.1.1.1/24

启用访问管理

HTTPS、Ping

配置安全策略。
选择“策略 > 安全策略 > 安全策略”。

单击“新建”，按如下参数配置从Untrust到Local的安全策略，允许移动办公用户登录SSL **虚拟网关。

名称

ssl*_ul

源安全区域

untrust

目的安全区域

local

服务

https, udp

说明：
如果修改了https端口号，则此处建议按照修改后的端口号开放安全策略。

动作

允许

单击“确定”。
参考上述步骤配置从Untrust到Trust的域间策略。

名称

ssl*n_ut

源安全区域

untrust

目的安全区域

trust

源地址/地区

172.16.1.0/24

目的地址/地区

10.1.2.0/24

动作

允许

配置到Internet的路由。
假设FW通往Internet的路由下一跳的IP地址为1.1.1.2。

选择“网络 > 路由 > 静态路由”。
单击“新建”，按如下参数配置。

目的地址/掩码

0.0.0.0/0.0.0.0

下一跳

1.1.1.2

单击“确定”。

创建用户和用户组。
选择“对象 > 用户 > default”。
“场景”选择“SSL **接入”，“用户所在位置”选择“本地”。
点击放大

单击“新建”，选择“新建用户组”，创建research用户组。
点击放大

单击“确定”。
单击“新建”，选择“新建用户”，创建用户user0001，密码Password@123。
点击放大

单击“确定”。
单击“应用”。
创建并配置SSL 虚拟网关。
配置SSL虚拟网关。
设置网关IP地址、用户认证方式和最大并发用户数等参数，然后单击“下一步”。

点击放大

配置SSL的版本以及加密套件，然后单击“下一步”。
此处使用缺省算法即可。

选择要开启的业务，然后单击“下一步”。
点击放大

配置网络扩展，然后单击“下一步”。
点击放大

配置SSL VPN的角色授权/用户。
点击放大

单击“角色授权列表”中default后的，选中“网络扩展”，然后单击“确定”。

点击放大

返回角色授权/用户界面，单击“完成”。

二、 SSL*配置好了，但是访问公网流量路径还是走手机上的，哪里可以设置让访问公网流量也走公司的网络？

1.把网络扩展里面的路由模式改成全路由

2.网关配置设置DNS

3.在防火墙上再做一个nat策略：公网接口所在安全区域的为源，到公网出去的为目的转换，转换为出接口地址。
源安全区域和目的安全区域都设置为untrust，然后源地址这里，可以写扩展网络下发的地址池地址网段，转换后的数据包出接口地址，其他的不用设置。

4.手机端打开secoclientAPP设置登录测试