Cloud_Strife,SSLVPN+域名拨号方式配置案例

1678202215,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区Cloud_Strife Cloud_Strife 二段 粉丝：0人 关注：0人

问题描述：

有没有SSLVPN+域名拨号方式的配置案例

组网及组网描述：

13小时前提问

您好，参考：https://www.h3c.com/cn/d_

 IP接入配置举例

1. 组网需求

Device为SSL VPN网关设备，连接公网用户和企业私有网络。用户通过Device可以通过IP

接入方式安全地访问私有网络内的Server。Device采用本地认证和授权方式对用户进行认证和授权。

2. 组网图

图1-

‌

3. 配置步骤

在开始下面的配置之前，假设已完成如下配置：

·     Device已获取到CA证书ca.cer和服务器证书server.pfx，若SSL VPN网关不引用SSL 服务端策略，则使用设备缺省证书。

·     Server上存在到达网段10.1.1.0/24的路由。

 

     配置接口IP地址、路由、安全域及域间策略保证网络可达，具体配置步骤略

     配置PKI域

# 配置PKI域sslvpn。

<Device> system-view

[Device] pki domain sslvpn

[Device-pki-domain-sslvpn] public-key rsa general name sslvpn

[Device-pki-domain-sslvpn] undo crl check  enable

[Device-pki-domain-sslvpn] quit

# 导入CA证书ca.cer和服务器证书server.pfx。

[Device] pki import domain sslvpn der ca filename ca.cer

[Device] pki import domain sslvpn p12 local filename server.pfx

     配置SSL服务器端策略

# 配置SSL服务器端策略ssl。

[Device] ssl server-policy ssl

[Device-ssl-server-policy-ssl] pki-domain sslvpn

[Device-ssl-server-policy-ssl] quit

(4)     配置SSL VPN网关

# 配置SSL VPN网关gw的IP地址为1.1.1.2，端口号为4430，并引用SSL服务器端策略ssl。

<Device> system-view

[Device] sslvpn gateway gw

[Device-sslvpn-gateway-gw] ip address 1.1.1.2 port 4430

[Device-sslvpn-gateway-gw] ssl server-policy ssl

[Device-sslvpn-gateway-gw] service enable

[Device-sslvpn-gateway-gw] quit

(5)     创建SSL VPN客户端地址池

# 创建为SSL VPN客户端分配地址的地址池sslvpnpool，地址范围为10.1.1.1～10.1.1.10。

[Device] sslvpn ip address-pool sslvpnpool 10.1.1.1 10.1.1.10

(6)     创建SSL VPN AC接口

# 创建SSL VPN AC接口1，配置该接口的IP地址为10.1.1.100/24。

[Device] interface sslvpn-ac 1

[Device-SSLVPN-AC1] ip address 10.1.1.100 24

[Device-SSLVPN-AC1] quit

(7)     配置SSL VPN访问实例

# 配置SSL VPN访问实例ctxip，引用SSL VPN网关gw，指定域名为domainip。

[Device] sslvpn context ctxip

[Device-sslvpn-context-ctxip] gateway gw domain domainip

# 配置IP接入引用的SSL VPN AC接口1.

[Device-sslvpn-context-ctxip] ip-tunnel interface sslvpn-ac 1

# 创建路由表rtlist，并添加路由表项

[Device-sslvpn-context-ctxip] ip-route-list rtlist

[Device-sslvpn-context-ctxip-route-list-rtlist] include

[Device-sslvpn-context-ctxip-route-list-rtlist] quit

# 引用SSL VPN客户端地址池sslvpnpool。

[Device-sslvpn-context-ctxip] ip-tunnel address-pool sslvpnpool mask 24

# 创建SSL VPN策略组resourcegrp，引用路由列表rtlist，并同时配置对IP接入进行ACL过滤。

[Device-sslvpn-context-ctxip] policy-group resourcegrp

[Device-sslvpn-context-ctxip-policy-group-resourcegrp] ip-tunnel access-route ip-route-list rtlist

[Device-sslvpn-context-ctxip-policy-group-resourcegrp] filter ip-tunnel acl 3000

[Device-sslvpn-context-ctxip-policy-group-resourcegrp] quit

# 开启SSL VPN访问实例ctxip。

[Device-sslvpn-context-ctxip] service enable

[Device-sslvpn-context-ctxip] quit

# 创建ACL 3000，规则为允许源IP为10.1.1.0/24的报文访问目标IP网段

[Device] acl advanced 3000

[Device-acl-ipv4-adv-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination

[Device-acl-ipv4-adv-3000] quit

(8)     配置SSL VPN用户

# 创建本地SSL VPN用户sslvpnuser，密码为123456，用户角色为network-operator，授权用户的SSL VPN策略组为resourcegrp。

[Device] local-user sslvpnuser class network

[Device-luser-network-sslvpnuser] password simple 123456

[Device-luser-network-sslvpnuser] service-type sslvpn

[Device-luser-network-sslvpnuser] authorization-attribute sslvpn-policy-group resourcegrp

[Device-luser-network-sslvpnuser] authorization-attribute user-role network-operator

[Device-luser-network-sslvpnuser] quit

4. 验证配置

# 在Device上查看SSL VPN网关状态，可见SSL VPN网关gw处于Up状态。

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 4430

  Front VPN instance: Not configured

# 在Device上查看SSL VPN访问实例状态，可见SSL VPN访问实例ctx处于Up状态。

[Device] display sslvpn context

Context name: ctxip

  Operation state: Up

  AAA domain: Not specified

  Certificate authentication: Disabled

  Password authentication: Enabled

  Authentication use: All

  Dynamic password: Disabled

  Code verification: Disabled

  Default policy group: Not configured

  Associated SSL VPN gateway: gw

    Domain name: domainip

  Maximum users allowed: 1048575

  VPN instance: Not configured

  Idle timeout: 30 min

# SSL VPN用户sslvpnuser在PC浏览器上输入https://1.1.1.2:4430/，进入Domain List页面，如下图所示。

图1-

 

# 选择domainip进入登录页面，输入用户sslvpnuser和密码123456。

图1-22 登录页面

 

# 单击<登录>按钮，可以成功登录SSL VPN网关。在网页的应用程序栏中选择“启动IP客户端应用程序”，如下图所示。

图1-23 应用程序列表

 

# 单击<启动>按钮，下载IP接入客户端软件Svpnclient并安装，安装完成后，启动iNode客户端，输入如下图所示的参数。

图1-24 iNode客户端

 

# 单击<连接>按钮，成功登录SSL VPN客户端，如下图所示。

图1-25 成功登录SSL VPN网关

 

# SSL VPN用户sslvpnuser可以Ping通服务器地址

C:\>ping

Pinging

Reply from

Reply from

Reply from

Reply from

 

Ping statistics for

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 15ms, Maximum = 31ms, Average =

# 在Device上可以看到SSL VPN用户sslvpnuser的会话信息。

[Device] display sslvpn session user sslvpnuser

User              : sslvpnuser

Context           : ctxip

Policy group      : resourcegrp

Idle timeout      : 30 min

Created at        : 16:38:48 UTC Wed 07/26/

Lastest           : 16:47:41 UTC Wed 07/26/

User IPv4 address : 172.16.1.16

Allocated IP        : 10.1.1.1

Session ID        : 14

Web browser/OS    : Windows

13小时前回答

客户端直接输入域名拨号，配置还需要增加什么

Cloud_Strife

1、正常配置SSL VPN

2、如果用域名拨号，把域名解析到那个IP地址

13小时前回答

你正在,SSLVPN+域名拨号方式配置案例