正文共:888 字 8 图,预估阅读时间:2 分钟
SSL VPN可以提供三种资源接入方式,分别为Web接入方式、TCP接入方式和IP接入方式。前面我们已经介绍了通过IP方式接入SSL VPN(VSR白送的的SSL VPN功能,你要不要?),用户需要安装专用的接入客户端软件iNode,该客户端软件会在终端系统上安装一个虚拟网卡,进而实现所有基于IP的远程主机与服务器的互通。
如果只有一些简单的Web资源,也可以配置Web接入方式。
Web接入方式是指用户使用浏览器,通过HTTPS协议访问SSL VPN网关提供的Web资源。用户登录后,Web页面上会显示用户可访问的资源列表,用户可以选择需要访问的资源直接访问。Web接入方式中,所有数据的显示和操作都是通过Web页面进行的。
本案例中,我们需要在VSR上创建与云内服务器对应的资源,由VSR充当SSL VPN网关来提供SSL VPN服务,负责在远端接入用户和云内网络之间转发报文。
用户使用浏览器,通过HTTPS协议登录SSL VPN网关,SSL VPN网关对接入用户进行身份认证,并对允许用户访问的URL资源进行授权,授权的URL资源以URL链接的形式展示在网关的Web页面上。用户在SSL VPN网关的Web页面上即可访问经过授权的URL资源。
首先配置PKI(Public Key Infrastructure,公钥基础设施)域guotiejun,并导入CA证书certguo.cer和服务器证书serverguo.pfx,证书的生成方式请参考文章(Windows Server配置生成认证证书)。
#pki domain guotiejunpublic-key rsa general name guotiejunundo crl checkenablepki importdomain guotiejun pem ca filename certguo.cerpki importdomain guotiejun p12 local filename serverguo.pfx
[H3C]pki import domain guotiejun pem ca filename certguo.cerThe trusted CA's finger printis:MD5 fingerprint:9B04 EA72D3D0A346C0C4 7A24 BCB4BC78SHA1 fingerprint:475D D82F 8A18 23A6 5C0F 3BCE 2027 3C1E 5972 2D6DIs the finger print correct?(Y/N):y[H3C]pki import domain guotiejun p12 local filename serverguo.pfxPlease input the password:(guotiejun)
配置SSL服务器端策略ssl,绑定PKI域guotiejun。
#ssl server-policy guotiejunpki-domain guotiejun
配置SSL VPN网关tiejun的IP地址为192.168.1.211,端口号为10010。
#sslvpngateway guotiejunipaddress 192.168.1.211 port 10010sslserver-policy guotiejunserviceenable
创建SSL VPN访问实例guotiejun,引用SSL VPN网关guotiejun。
#sslvpncontext guotiejungatewayguotiejun
在访问实例guotiejun中创建URL表项,并配置资源的URL。
#sslvpncontext guotiejunurl-itemnginx1urlhttp://172.30.1.67:10001url-itemnginx2urlhttp://172.30.1.67:10002url-itemnginx3urlhttp://172.30.1.67:10003
在访问实例guotiejun中创建URL列表,配置URL列表标题为Nginx,并引用前面创建的URL表项。
#sslvpncontext guotiejunurl-listNginxheadingNginxresourcesurl-item nginx1resourcesurl-item nginx2resourcesurl-item nginx3
在访问实例guotiejun中创建策略组guotiejun,引用Web资源,并指定其为缺省策略组。
sslvpn context guotiejunpolicy-group guotiejunresources url-list Nginxdefault-policy-group guotiejun
使能SSL VPN访问实例guotiejun。
#sslvpncontext guotiejunserviceenable
创建用户组sslvpn,授权给该用户组的策略组为guotiejun。
#user-group sslvpnauthorization-attribute sslvpn-policy-group guotiejun
创建本地SSL VPN用户guotiejun,密码为guotiejun,授权用户的SSL VPN策略组为resourcegrp。
#local-userguotiejun class networkpasswordsimple guotiejunservice-typesslvpngroupsslvpnauthorization-attributeuser-role network-operator
然后就可以测试访问云内业务了,在浏览器中输入以下链接地址,注意以HTTPS打头:
https://ssl.h3cadmin.cn:10010
输入账号密码guotiejun/guotiejun进行登录。
可以看到授权资源信息,点击测试一下访问。
从URL中可以看出资源的访问方式为代理,资源类型为HTTP,真实的服务器地址为172.30.1.67,端口为10001。
在VSR上查看SSL VPN网关的状态
查看SSL VPN访问实例状态。
查看SSL VPN的用户会话信息。
一不小心又成功了。
长按二维码关注我们吧
原文始发于微信公众号(铁军哥):SSL VPN配置Web接入方式案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论