引言
SSL VPN是以SSL(Secure Sockets Layer)协议为基础,利用浏览器内置支持SSL的优势,对其应用功能进行扩展的新型VPN。对于 SSL VPN,移动用户登录虚拟网关,认证后建立 SSL VPN。可以通过配置 Web 代理、文件共享和端口转发功能来代理移动用户访问内网服务器。此外,管理员还可以配置网络扩展,让移动用户直接访问内网服务器(无需虚拟网关代理)。
如果对概念还有问题,可以提前复习下此篇文章
SSL VPN (大学生易读版)
https://mp.csdn.net/mp_blog/creation/editor/134824999
拓扑介绍
拓扑如上,其中为了方便查看效果,与防火墙建立ssl vpn的右端采用win10的虚拟机,左边r1作为内部资源,也是win10的访问对象。
在配置之前,先满足防火墙在路由协议的支持下win能和防火墙建立连接,并且防火墙初始化后且能通过asdm登录,除此外r1上开启http服务
并且确保win上网络适配器联通
WEB接入(无客户端)
解释
无需客户端,首先通过浏览器和网关建立连接,其次再访问内网资源
配置
正常情况是配置网关,再配置账号密码,配置资源并在策略中调用
1.配置网关
2.配置账号密码
3.配置资源并在策略中调用(由1知已经被默认调用,这里在默认调用的里面进行配置即可)
验证
点进去输入账号密码之后(成功进入,可以连接到网关,而且能连接到所配置的资源)
配置成功(点击pc可以继续验证,按找r1配置的http本地账号密码,这里不过多赘述)
TCP接入(瘦客户端)
解释
在tcp的帮助下根据不同的端口号进行与资源进行连接,或则依靠tcp与相关应用进行配合和对端建立邻居。因为都需要一定的插件支持,所以说也称瘦客户端。本质上与web接入原理相同,都是代理访问
应用访问配置
解释:依靠一定的插件在tcp的支持下进行web接入
环境:需要在防火墙插入telnet的插件和插入telnetweb端可视化java环境
(若有需要,私信)
详细虚拟机插入java环境以及防火墙插入插件见链接
思科防火墙ASDM插入插件https://mp.csdn.net/mp_blog/creation/editor/135298726eve环境虚拟机和电脑如何传送文件https://mp.csdn.net/mp_blog/creation/editor/135298830?not_checkout=1
检验(配置后刷新客户端):
smart tunnel配置
解释:可以根据tcp支持允许在原客户端上用一定的软件直接对远端进行资源访问
配置1smart tunnel的建立
配置2资源调用smart tunnel
检验(刷新客户端web界面):
打开smart tunnel
注意:确保telnet功能打开
端口转换配置
解释:TCP接入中最常见的则为端口转换从而按照不同的端口号进行TCP接入访问。
首先与网关建立连接
其次本地客户端在插件的支持下与收到网关下发的端口转发表
最后采取NAT协议,从而转换地址访问内网
简单来说就是根据下发端口转换表,依靠不同的端口号与资源进行访问。
配置1配置端口转换列表:
配置2调用资源:
检验(刷新客户端重新登录):
ip接入(厚客户端)
解释
首先客户与网关建立连接
其次网关生成与资源可以互相访问的虚拟网卡
最后将此虚拟网卡下发给客户
因为客户需要一定的软件支持获取虚拟网卡,所以叫做厚客户端
拓扑情况
其中本电脑需要准备好用于厚客户端来接入的软件插件,用于插入防火墙当中
除此之外,需要在虚拟机上提前传送好插件所对应的接入软件
按照提示下载好之后可在程序里面查看
配置
1.创建客户端选项,注意插件的安装和虚拟机上对应插件的应用
2.账号密码配置
3.资源所对应的策略上配置下发网段
检验
注意:检测之前先关闭此选项
点击链接,正常建立输入账号密码就行
下发的地址也可以直接和资源建立连接
隧道分离问题
查看分配地址后的路由表,我们可以看到,发送的报文都会进入123.123.123.2进行nat到对端资源,管理距离为2,一定会优先于去网关202.101.20.254.这就造成了只能ssl vpn,而不能从出口网关到isp完成上网服务。
解决办法
隧道分离,让只去资源的才发到网关123.123.123.2,其他的流量没匹配上的都是去isp网关
检验
由此可见,去往isp的正常走默认路由,去往对端资源的发往123.123.123.1,两者不干扰
尾言
本人网络小白一枚,如有知识点或则逻辑不清楚的,望大佬指出,如果大伙有其他问题,留在评论区,我会尽快为大伙解决。
