文章目录[隐藏]
前言
山石网科的SSL VPN服务配置对与没接触过的小白相对比较困难 这里进行一个更深层次的实战讲解
起因是我在一个项目中体验到SSL VPN的便捷性 以及看了某鱼市场上的高性价比。
所以斥200巨资购买了一台2015生产,型号为E1600的二手山石网科防火墙,作为家庭防火墙使用
这个设备让我随时随地简单访问家庭网络 还可以当防火墙使用!爽歪歪!
话不多说 让我们 go go go!
每一个设置的下面备注,都是可以忽略的设置,但你如果看明白,并理解后你就知道为什么这么做。
一、前置配置
1.1、创建用户
【不用多说把,这个就是设置你后面登陆所使用的账号】
选择 对象--用户--本地用户--新建--用户 然后输入想要的账号与密码
【注:在这里新建的用户是属于默认的local本地服务器下,需要专属服务器的话,可以在 对象-AAA服务器-新建-本地服务器 新建。 例:vpn-user】
1.2、放行策略
【搭好SSLVPN就是在咱们选择的VPNHub安全域里面 咱们现在这里给它放行,如果要限制它,就在 目的-安全域 选择允许访问的安全域,但我需要他可以访问全部 那么默认Any就可以了】
选择 策略--安全策略--新建 选择默认的VPN安全域 VPNHub 另外 操作5 一定要选择允许
【注:在这里使用的安全域VPNHub是预设的安全域 需要专属安全域的话,可以在 网络-安全域-新建 里面新建后再执行上面的放行策略。例:VPN-domain】
1.3、隧道接口
【这个设置其实可以在后面配置SSL选项的时候顺便点进去 但是为了更好的理解这里先单独拿出来配置一下】
选择 网络--接口--新建-- 隧道接口进入配置界面
1.3.1接口名称
接口名称 1-8 选择一个 我默认选1
1.3.2绑定安全域
选择三层安全域 正常默认选择VPNHub
【注:如果在1.2的时候有新建专属安全域要选新建的安全域 例:VPN-domain】
1.3.3IP配置
【这里就是给SSL VPN设置网关和掩码】
选择静态IP 然后IP地址配置一个没有用过的作为网关 这里设置9.9.9.1 并且设置子网掩码255.255.255.0
1.3.4管理方式
【这是给网关开管理功能 我个人用要求比较多 我全都要 公司要的话 为了安全一般只选Ping】
1.3完成点确认去设置下一步
1.4、地址池
【这个设置和1.3隧道接口一样可以后面配置 但为了方便理解和统一性也提前设置】
进入 网络-VPN--SSL VPN--SLL VPN地址池--新建 例:sslvpn-pool
IP范围设置为与1.3.3隧道接口设置的网关在同一个网段范围 例9.9.9.2--9.9.9.9 掩码 255.255.255.0
前置设置已经全部完成 下面正式开始!
二、SSL VPN配置
2.1、配置SSL VPN -名称/接入用户
【如果你上面设置使用的是默认,按照下面一步一步保证成功。如果按照上面备注进行更加深入的配置 那么你一定要多理解多思考 一步错就玩不下去了】
选择 网络--VPN--SSLVPN--新建 进入配置界面
开始配置 SSL VPN名称 按照自己喜欢随便设置一个 AAA服务器 默认选择local 直接点下方的添加 然后点下一步
【如果在目录1.1的时候有新建用户在新的本地服务器上 如vpn-user ,就点AAA服务器选择框旁边的三角形选择vpn-user】
2.2、配置SSL VPN-接入接口/隧道接口
2.2.1出接口1
出接口1选择出网口【就是你路由器接外网的口 我的是ethernet0/0 直接选择就可以】
2.2.2服务端口
正常选择默认的4433【这个端口是暴露在防火墙外面的,客户端连接时候也需要选择这个端口。如果怕被扫 可以考虑更换为不常用端口 同样登陆时候也需要更换登陆端口】
2.3隧道接口
选择在1.3.1时候创建的隧道接口 例tunnel1
2.4地址池
选择在1.4时候创建的地址池 例sslvpn-pool
2.5隧道路由配置
这里是指进入连接上SSL VPN后 可以访问哪些IP段 添加需要访问的IP
例 :我想要可以访问所有 就输入 0.0.0.0 0.0.0.0 然后添加
例:如果我只想访问10.10.10.0段的设备 就添加10.10.10.0 255.255.255.0
好,到这里就可以点击完成直接开始连接
三、客户端下载
下载对应的客户端
LINUX客户端
MAC客户端SCVPN_OSX_1.1.9
WINDOWS客户端 scvpn
四、测试使用
打开安装的客户端 选择新建
名称随便输入 描述跳过 主机选择公网IP 端口选择在2.2.2配置的默认4433 用户及密码选择在1.1配置的账号密码
点击确定 然后连接
成功如图 到此完成!
