當(dāng)前在企業(yè)中大量使用SSL VPN解決方案,員工與公司內(nèi)部系統(tǒng)的互聯(lián)更加便利,近期疫情加劇,某企業(yè)全員居家辦公,SSL VPN訪問增加,但是出現(xiàn)了一個(gè)惱人的提示符,解決問題后記錄如下,期間參考了華為的技術(shù)文檔,推薦使用xca解決方案,但此方案屬于自簽名方案的一種,管理員還需維護(hù)很多的用戶證書,另外xca軟件在制作用戶證書的一個(gè)環(huán)節(jié)有問題,無法選擇私鑰,其實(shí)用性不強(qiáng),還增加了一個(gè)軟件和并不可靠的自簽名方式,但以下提到的方式在華為的官網(wǎng)文檔中沒有出現(xiàn)過,特此說明。
用戶使用SecoClient/uniVPN通過SSL VPN隧道登錄SSL VPN虛擬網(wǎng)關(guān)時(shí),系統(tǒng)彈出如下提示:
安全警告,不可信的VPN服務(wù)器證書
設(shè)備中用戶SSL VPN的證書是自簽名,不補(bǔ)客戶端軟件所信任
步驟2 SSL 證書購買路徑
步驟2 需要填寫一些信息
步驟4 按箭頭操作
最簡單方式不彈窗
特別說明:上面的問題也許只是個(gè)小問題,我之所以記下來是怕我哪一天會(huì)想不起來我今天怎么樣的努力程度。
了解了SSL VPN基本工作原理后,我們來看一下一個(gè)SSL VPN的實(shí)際的生產(chǎn)配置案例,拓?fù)淙缦拢究偛坑幸慌_(tái)深信服的VPN設(shè)備部署為網(wǎng)關(guān)模式在互聯(lián)網(wǎng)出口,提供出差員工通過SSL VPN撥號(hào)遠(yuǎn)程接入可以訪問到公司內(nèi)部服務(wù)器系統(tǒng),如:如RTX內(nèi)部即時(shí)通信系統(tǒng)192.168.18.18,OA辦公系統(tǒng)192.168.18.28。
總部深信服SSL VPN配置:
第一步:進(jìn)入『SSL VPN 設(shè)置』→『用戶管理』,點(diǎn)擊新建,新建一個(gè) SSL VPN接入用戶。這就是遠(yuǎn)程電腦撥入VPN是輸入的賬號(hào)密碼。
第二步:進(jìn)入『SSL VPN 設(shè)置』→『資源管理』,新建一個(gè) TCP 應(yīng)用。點(diǎn)擊新建,選擇 TCP 應(yīng)用,設(shè)置資源名稱,選擇資源類型。這就是遠(yuǎn)程用戶撥入VPN后,需要訪問哪些內(nèi)部服務(wù)器資源,添加相應(yīng)服務(wù)器IP和服務(wù)端口號(hào)。
第三步:角色關(guān)聯(lián),即將剛剛創(chuàng)建號(hào)的資源和用戶進(jìn)行關(guān)聯(lián),進(jìn)入『SSL VPN 設(shè)置』→『角色授權(quán)』,點(diǎn)擊新建,選擇新建角色,配置角色名稱,選擇關(guān)聯(lián)用戶。相當(dāng)于用testoa賬號(hào)撥入VPN后可以獲得到對應(yīng)總部oa系統(tǒng)的服務(wù)器資源。
這樣一個(gè)VPN設(shè)備上一個(gè)SSL VPN賬號(hào)就創(chuàng)建完成了,并分配了相應(yīng)的資源權(quán)限。另外通過VPN接入的用戶在使用資源時(shí), 系統(tǒng)會(huì)為該用戶先分配一個(gè)虛擬IP地址,在『系統(tǒng)設(shè)置』→『SSL VPN選項(xiàng)』『系統(tǒng)選項(xiàng)』→『虛擬地址池』進(jìn)行查看或進(jìn)行修改。
遠(yuǎn)程電腦SSL VPN訪問:
打開IE瀏覽器,輸入公司總部VPN設(shè)備的外網(wǎng)地址123.12.23.34。
有些瀏覽器會(huì)自動(dòng)加載安裝相應(yīng)組件,如果沒有需要手工下載安裝組件,這個(gè)目的就是為了在遠(yuǎn)程電腦上生成一塊虛擬網(wǎng)卡。撥入成功后該網(wǎng)卡會(huì)獲取到VPN設(shè)備分配的虛擬IP地址。
最后輸入VPN的賬號(hào)密碼登錄后就可以訪問到公司總部的OA系統(tǒng)資源了。可以看到SSL VPN配置方式相對于IPsec VPN遠(yuǎn)程接入方式還是很便捷的。所以一般遠(yuǎn)程接入的方式還是建議采用SSL VPN進(jìn)行訪問了。