VPN还可以这样玩!!如何将VPN当跳板管理网络设备!
  

adds 12019

{{ttag.title}}
    总部设备系统版本:AF-7.1
    分支设备系统版本:AF-5.1

    需求:总部设备拥有SSL VPN的授权,而分支设备没有,客户想实现用户拨入总部VPN后,可以管理分支的网络设备,不允许开放总部、分支防火墙的外网登录接口。

    刚看到这个需求,感觉很简单,只需要在SSL VPN里将用户关联的资源里添加上分支的内网网段,再将资源访问的方式修改为“使用设备的IP地址作为源地址”。
   

    一、IPSec  VPN配置
    由于两端均是Sangfor的设备,配置比较简单。
    1、总部:
    新建用户:
    480275a0e751f70f45.png
    添加本地子网:
    355285a0e75513349f.png
   VPN接口设置:
    883585a0e7aa208a75.png
    2、分支:
    连接管理:
    510835a0e7a5238914.png
    内网接口设置:
    185625a0e7abc40c04.png
    外网接口设置:
    584225a0e7b9c0bfb3.png
    本地子网:
    51875a0e8bd629e92.png
    3、连接状态
    134525a0e7bc78b8fd.png

    二、SSL VPN设置
    1、新建用户
    2、新建资源
      204455a0e7c08c0545.png
    *这里除了要填写总部网络设备的网段,还需要填写分支网络设备的网段。
    3、新建角色
    4、配置资源服务选项
    162855a0e7d1700cd5.png
    *资源访问模式:勾选“使用设备的IP地址作为源地址”

     按照之前的配置思路,用户拨入总部的VPN后,使用VPN的地址去访问分支的设备,而总部和分支的链路已经通过IPSec VPN打通,但实际情况不是这样,发现VPN用户接入总部后无法Ping通分支的网络设备。
    使用route print命令发现,有去往分支(192.168.1.0/24网段)的路由。
    47965a0e80e15c2c4.png
    使用tracert命令,发现PC已经将发往分支的数据交给了虚拟网卡处理
    31195a0e812f9decc.png
    本机虚拟网卡IP为:1.1.1.1   对端为:1.1.1.2
   
   
    上面分析得出,VPN用户的数据交给了总部的VPN,但总部的VPN没有处理。在总部与分支的VPN建立起来后,总部VPN有了去往分支网段的路由,且从命令行控制台访问正常。
    114935a0e8a8aa36be.png
   
    解决方案
    最终在400的帮助下,重新更改了配置,将SSL VPN--资源服务选项--资源访问模式,使用分配的虚拟IP作为源地址;在总部的IPSec  VPN--本地子网列表,将2.0.1.0/24加入到列表中。
    数据交互过程:用户登录后,匹配L3VPN资源,获得访问分支网段的权限后,终端将源是2.0.1.0/24目的地址是192.168.1.0/24的数据交给总部VPN下发的虚拟IP(2.0.1.X),总部VPN通过分支VPN发布的本地子网获取192.168.1.0/24的路由,将终端用户的数据发往分支的VPN设备,分支接到数据后转给目的网络设备,之后,分支VPN通过从总部VPN获取的路由条目转回给总部VPN,实现数据的交互。
    这样,在VPN用户拨入VPN后,就可以访问分支发布的192.168.1.0/24网段了。
    520425a0e8d0a31cb4.png

    最后,有个疑问请教大家,在VPN客户端tracert 到分支内网设备IP的过程中,发现最终的结果是跟踪到了本地,很是疑惑。
    653585a0e8dcde9588.png
    而我本机并没有配置这个网段的IP。
   
   

    在最最开始的时候,认为用户关联的资源只要有分支网段就OK。VPN用户拨入总部VPN,总部有到分支的路由,直接就可以访问,当然这是错误的。之后才有了本贴开头的尝试。
   

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

Sangfor_闪电回_朱丽 发表于 2017-11-20 09:09
  
SSL VPN和IPSEC VPN结合使用的需求,也经常会遇到,楼主对过程分析很透彻,想学习的都GET起来
PS:最后三张图是?
qinpeng 发表于 2017-11-23 11:27
  
666666666666666666
liangzhihao 发表于 2017-11-24 15:38
  
学习到了
Forever 发表于 2017-11-27 10:55
  
没说到第一种方式为什么不行啊,数据为啥没有往ipsecvpn隧道里扔
fjqx 发表于 2017-12-19 21:22
  
多谢分享……
ID404 发表于 2017-12-28 11:51
  
第二种方法确实可以实现楼主的需求,但我觉得更重要的是查出第一种方法为什么不行
ITMNG 发表于 2017-12-29 08:09
  
这样都行,大赞!
新手261882 发表于 2018-1-4 00:40
  
没想到,好好学习学习!
深器 发表于 2018-1-4 07:39
  
过来学习
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人