华为防火墙SSL虚拟专网配置客户端所有访问流量路由全部走公司网络
一、SSL配置请参考华为案例:
组网需求
企业网络如图1所示,企业希望公司外的移动办公用户能够通过SSL**隧道访问公司内网的各种资源。
图1 移动办公用户使用SecoClient通过SSL **隧道访问企业内网
数据规划
项目
数据
接口
接口号:GigabitEthernet 0/0/1
IP地址:1.1.1.1/24
安全区域:Untrust
GigabitEthernet 0/0/2
IP地址:10.1.1.1/24
安全区域:Trust
虚拟网关
虚拟网关名称:ssl*
接口:GigabitEthernet 0/0/1
最大用户数:150
最大用户在线数:100
移动办公用户
用户名:user0001
密码:Password@123
网络扩展
网络扩展地址池:172.16.1.1~172.16.1.100
说明:
若内网服务器IP地址与网络扩展地址池的IP地址不在同一网段,需要在内网服务器上配置到网络扩展地址池的路由。
路由模式:手动
网络扩展用户可访问的内网网段:10.1.2.0/24
操作步骤
配置FW。
配置接口IP地址和安全区域,完成网络基本参数配置。
选择“网络 > 接口”。
单击GE0/0/1对应的,按如下参数配置。
安全区域
untrust
IPv4
IP地址
1.1.1.1/24
启用访问管理
HTTPS、Ping
单击“确定”。
参考上述步骤按如下参数配置GE0/0/2接口。
安全区域
trust
IPv4
IP地址
10.1.1.1/24
启用访问管理
HTTPS、Ping
配置安全策略。
选择“策略 > 安全策略 > 安全策略”。
单击“新建”,按如下参数配置从Untrust到Local的安全策略,允许移动办公用户登录SSL **虚拟网关。
名称
ssl*_ul
源安全区域
untrust
目的安全区域
local
服务
https, udp
说明:
如果修改了https端口号,则此处建议按照修改后的端口号开放安全策略。
动作
允许
单击“确定”。
参考上述步骤配置从Untrust到Trust的域间策略。
名称
ssl*n_ut
源安全区域
untrust
目的安全区域
trust
源地址/地区
172.16.1.0/24
目的地址/地区
10.1.2.0/24
动作
允许
配置到Internet的路由。
假设FW通往Internet的路由下一跳的IP地址为1.1.1.2。
选择“网络 > 路由 > 静态路由”。
单击“新建”,按如下参数配置。
目的地址/掩码
0.0.0.0/0.0.0.0
下一跳
1.1.1.2
单击“确定”。
创建用户和用户组。
选择“对象 > 用户 > default”。
“场景”选择“SSL **接入”,“用户所在位置”选择“本地”。
点击放大
单击“新建”,选择“新建用户组”,创建research用户组。
点击放大
单击“确定”。
单击“新建”,选择“新建用户”,创建用户user0001,密码Password@123。
点击放大
单击“确定”。
单击“应用”。
创建并配置SSL 虚拟网关。
配置SSL虚拟网关。
设置网关IP地址、用户认证方式和最大并发用户数等参数,然后单击“下一步”。
点击放大
配置SSL的版本以及加密套件,然后单击“下一步”。
此处使用缺省算法即可。
选择要开启的业务,然后单击“下一步”。
点击放大
配置网络扩展,然后单击“下一步”。
点击放大
配置SSL VPN的角色授权/用户。
点击放大
单击“角色授权列表”中default后的,选中“网络扩展”,然后单击“确定”。
点击放大
返回角色授权/用户界面,单击“完成”。
二、 SSL*配置好了,但是访问公网流量路径还是走手机上的,哪里可以设置让访问公网流量也走公司的网络?
1.把网络扩展里面的路由模式改成全路由
2.网关配置设置DNS
3.在防火墙上再做一个nat策略:公网接口所在安全区域的为源,到公网出去的为目的转换,转换为出接口地址。
源安全区域和目的安全区域都设置为untrust,然后源地址这里,可以写扩展网络下发的地址池地址网段,转换后的数据包出接口地址,其他的不用设置。
4.手机端打开secoclientAPP设置登录测试
相关文章
- 十大入职面试最难公司:谷歌第二
- 公司文化之 上级与下级
- [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:661)
- 生活娱乐 装修如何选择家装装饰公司
- 多数公司容易犯的5个大数据错误
- 科技公司官网小程序-总体介绍
- 阿里小蜜的语音识别、语义理解技术用的是哪家公司的产品?
- 已解决WARNING: pip is configured with locations that require TLS/SSL, however the ssl module in Python
- SSLError: [SSL: TLSV1_ALERT_PROTOCOL_VERSION] tlsv1 alert protocol version (_ssl.c:590)
- 如何在一家大公司里受到重用
- 直击面试现场:谈谈我面试十家公司测试岗的特别经历
- 35岁程序员被公司辞退,生活压力太大痛哭,中年危机如何自救?
- 从小公司功能测试到一线大厂自动化测试,薪资翻倍,我做到了...
- 一线互联网公司必备——最为详细的Docker入门吐血总结