【总结分享】SSLVPN配置指导：PPTP/L2TP/虚拟门户

一、PPTP
1、应用场景

SANGFOR SSL设备从5.1版本开始支持iPhone、iPad、Android 的PPTP接入，达到类似L3VPN服务的效果。

通过PPTP方式接入，可以减少服务端部署成本以及手机维护的影响。SANGFOR SSL 设备能够提供细化到IP、端口的权限划分，弥补PPTP一般只能全网访问的不足，同时用户通过PPTP接入SSL无需安装客户端，避免软件冲突的可能。

PPTP如果是单臂部署，需要前端设备映射TCP 1723端口和支持PPTP应用网关NAT穿透。

2、必要条件说明

• SSL VPN设备上面要开启允许PPTP方式接入。
• 设备单臂部署，前端设备要支持PPTP穿透，并且要映射TCP 1723端口
• 用户接入PPTP后，无法访问外网。

  
  
  
  

PPTP如果是单臂部署，需要前端设备映射TCP 1723端口和支持PPTP应用网关NAT穿透。

3、配置思路

  1.【系统设置】-【SSL VPN选项】-【系统选项】-【接入选项】，勾选“启用PPTP接入服务”。

• 【SSL VPN设置】-【策略组管理】，新增组策略，勾选“允许使用PPTP方式接入”。
• 【SSL VPN设置】-【用户管理】，在需要PPTP接入的用户和用户组属性中关联第2步设置的组策略。
• 【SSL VPN设置】-【资源管理】，新建L3VPN资源，添加需要通过PPTP访问的资源。
• 【SSL VPN设置】-【角色授权】，新建角色，关联用户/用户组和资源。

  
  
  
  

4、注意事项

• 用户首先通过EC登录SSL VPN，再通过PPTP的方式接入访问内网资源需要占用2个移动用户的授权。
• SSL VPN 6.6版本开始支持微软AD账号通过PPTP接入，SSL VPN 6.6以前的版本只支持本地用户名密码认证。
• 用户接入PPTP后，无法访问外网。
• 个别地区电信运营商（如北京联通）会封锁3G网络的PPTP，如部署好后发现通过WIFI可以接入，但通过3G不行，很可能就是运营商封锁。
• IPhone、IPad 待机后可能会自动断开PPTP连接。
• PPTP连接不成功时，需确认从本端网络到SSL设备之间的设备 ，是否支持PPTP穿透，可以尝试内网通过VPN LAN口地址连接PPTP测试是否是服务端未配置正确导致连接不上PPTP。

  
  
  
  

二、L2TP配置指导1、应用场景

  手机使用自带的L2TP客户端接入VPN访问内网应用，不需要安装客户端。

2、配置思路

• SSLVPN服务端启用L2TP，并配置预共享密钥
• 配置策略组，允许用户使用L2TP方式接入VPN
• 创建用户（用户组），关联上面设置的策略。添加L3VPN资源，并通过角色授权将用户、资源关联起来。

  
  
  
  

3、注意事项

• L2TP的预共享密钥请勿与登录VPN的密码混淆。
• SSLVPN设备单臂模式部署时，需要前端设备映射UDP 500、UDP4500 和UDP1701端口而且前端设备必须支持L2TP 应用穿透。
• 测试时请尽量用WIFI从内网测试（输入VPN的内网地址），这样如果可以连接，而外网无法连接，则可能是前端设备配置问题或本身不支持L2TP协议。另外需要注意，有些3G网络不支持L2TP，请自行排除网络原因。
• 通过L2TP 访问的应用，必须添加成L3VPN 资源。
• 开启了L2TP 接入服务，SSL 设备自带的标准IPSec VPN 服务将不能使用，SANGFOR VPN 功能不受影响。
• 手机接入L2TP之后无法访问互联网，L2TP特性。
• L2TP结合AD域认证需要SSLVPN设备加入域。
• SANGFOR SSLVPN的L2TP只支持安卓/IOS自带的L2TP客户端连接，不支持WINDOWS/LINUX的L2TP客户端。

  
  
  
  

三、虚拟门户配置指导1、功能简介

SAGNFOR SSL VPN借助多页面隔离访问技术，实现独立的虚拟门户访问。

虚拟门户功能主要价值在于：

• 安全隔离：实现登录用户的完全隔离访问。在终端登录用户使用中，他们将完全接触不到不同权限的其他用户，每一组单独使用不同的系统地址，不同的登录页面，不同的认证方式，访问不同的资源页面，从而实现完全的隔离访问
• 统一管理：对于拥有不同的分支结构或者不同部门之间的登陆，虚拟门户能在一台设备上虚拟多个登录平台，提供给不用的用户组织使用，能实现多台设备分别登录的效果，实现更好的统一管理。

  
  
  
  

虚拟门户功能，将允许客户能把一台SSLVPN设备，虚拟成多台来提供不同的部门和分属子公司进行访问。

2、应用场景

• 不同部门、不同运营平台采用不同的SSL VPN用户登录页面；
• 各个不同的SSL VPN用户登录页面可拥有独立的地址或端口、选择不同的页面模板；

  
  
  
  

3、必要条件说明

• 虚拟门户主要用于PC端使用浏览器登录呈现不同的SSL VPN登录页面；
• 通过不同IP或端口区分不同虚拟门户，因此需要配置多个网口IP或者HTTPS服务端口；

  
  
  
  

4、配置思路

• 配置不同虚拟门户使用的IP地址、HTTPS服务端口；
• 在登录策略中开启虚拟门户功能；
• 配置不同IP或端口的访问地址、关联的用户/用户组、使用界面模板；
• 访问不同的虚拟门户页面，进行登录测试；

  
  
  
  

5、注意事项

• 启用虚拟门户后，SSL VPN多线路选路功能将不可用，相关配置菜单将不可见；
• 集群部署时只能采用一个CIP对外访问，可以采用不同HTTPS端口区分实现虚拟门户；
• 若外网线路为ADSL线路需要使用虚拟门户功能，webagent尚不支持多端口寻址，此情况下在设备上设置多https端口，然后申请其他动态域名服务，如花生壳，用花生壳域名+端口区分不同的虚拟门户；
• 如果用户登录不属于该用户组登陆策略的虚拟门户页面，会提示“用户不符合登录策略，禁止登录。”如下图所示：
• 虚拟门户功能不支持EC登录，只支持浏览器方式登录。

  
  
  
  

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

感谢分享，学习一下~

感谢楼主的精彩分享，有助工作!!!

感谢分享，有助于工作，学习了！！！

非常好的技术干货帖，顶一个！

感谢分享，学习一下~