产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【VPN】VPN在路由的模式下如何通过证书认证登录的方式SSL VPN访问公司内网

发布时间:2013-09-04
点击量:7151

一、网络需求:

外网用户通过SSL vpn 访问公司内网的服务资源,登录的方式是 ”证书方式登录“

(本案例涉及到RG-CMS证书管理系统,相关的安装使用请参照本案例集中 “RG-CMS证书管理系统的安装 ”说明)

二、网络拓扑

外网接口ETH0 :172.18.10.98/24

内网接口ETH1:192.168.1.1/24

internet------V1600S-----接入层交换机----局域网

三、配置要点

1.配置基本的上网功能,保证内网用户能访问互联网

1)配置内网接口IP:

2)配置外网接口IP:

3)配置对象定义:定义内网网段

4)定义内网访问外网的地址转换规则

5)配置完新增的地址转换规则,并把该条规则调所有规则的最前面

(注:初始化的V1600S默认产生以下两条访问规则,序号为1的安全规则是对任何数据都是放通,不进行任何的修改,序号为2的安全规则是对任何数据都进行阻断;访问规则的处理顺序是由上往下,从第一访问规则开始匹配,如果新增加了访问规则,记得根据实际的网络需求调整好规则之间的顺序)

2.配置SSL VPN

1)资源管理配置------添加资源

2)用户组管理--------添加用户组(用户和资源是绑定在一起的)

3)远程用户组管理---本地用户数据库

4)参数设置-----------虚拟地址池(1.安全规则选择“直接放行”。2.配置时切忌不要配置内网同段的 IP 地址,否则会照成资源无法访问的情况)

5)用户认证------证书认证(此处证“证书参数>证书认证”里面必须勾选)

6)生成证书------PME/P12(此处添加的证书用户名称必须与 “远程用户组管理---本地用户数据库”的用户名称一致)

四、配置步骤

1.配置基本的上网功能,保证内网用户能访问互联网

------------------------------以下配置基本的上网功能--------------------------------------

1)配置内网接口IP

 

2)配置外网接口IP:外网接口要设置出口的网关地址,无需再设置默认路由

3)定义内网用户网段

4)配置内网用户访问互联网的地址转换规则

5)配置好以上规则后,通过”规则上移“的按钮把该条规则调到最前面,如下图所示:

 2.配置SSL VPN

-------------------------------以下是V1600S的SSL VPN 配置---------------------------

1)资源管理配置------添加资源

指定外网用户可以访问的内网资源,资源名称可以自定义

 2)用户组管理---本地用户数据库

用户组名可以自定义

 3)用户组管理--------添加用户组

 

点击  “本地用户数据库”  添加新用户

本案例中添加的用户名为test123,密码123456;

 

回到 用户组管理 页面,给该账户分配之前我们设定的内网服务资源

 

4)参数设置-----------虚拟地址池

参数中主要配置虚地址池,虚地址池的作用是:用户建立隧道时,VPN网关设备从该地址池从分配其中的某个IP地址给外网VPN用户使用;

配置时有以下注意点:

1.切忌不要配置内网同段的 IP 地址,否则会造成资源无法访问的情况;

2.SSL 隧道设置“区域的”SSL隧道端口复用“按钮如果有端口冲突时请勾选,否则无需勾选;

 

如果不勾选以上的“使用组虚拟地址池”,那么就可以直接设置子网地址和掩码,就此所有配置就结束了。

(“使用组虚拟地址池”该功能的使用场景请参照“SSL vpn配置》路由模式》用户名+密码方式登录”中的“使用组虚拟地址池”里的介绍)

 

-------------------------------以下是证书认证的相关设置------------------------------------------

5)用户认证------证书认证

用户认证------证书认证   :远程用户管理---->认证参数---->证书认证;

将用户通过 RG-CMS 下发的密钥在 VPN 设备上可以合法使用,该处勾选时用户方可通过证书认证,否则证书认证无法使用;

 

6)生成证书-----PME/P12

此处涉及到RG-CMS证书管理系统,相关的安装使用请参照本案例集中 “VPN》其它配套组建的安装》RG-CMS证书管理系统的安装 ”说明

  • 添加一个新用户,用户信息中填写的用户名称一定要和V1600S的本地用户数据库中添加的用户一致

 

此处的用户名为:test123        用户类型:客户端用户

 

  • 生成证书

 

  •  导出证书和私钥

接下来的操作步骤参见第五步

 

五、配置验证

有两种导出类型,这里先使用第一种类型:PEM

--------------以下是客户端使用PEM证书方式拨VPN的过程----------------

1.使用PEM方式登录

在客户端电脑输入外网接口的IP地址:https://172.18.10.98 弹出以下页面

 

出现安装客户端的界面

 

选择“证书认证”方式

 

浏览方式导入之前生成的证书文件

 

选择 生成的 pem  和 key 文件

点击 登录后 

 

隧道建立成功后,就可以开始访问内网的服务资源了

2.使用PKCS#12方式

--------------以下是客户端使用PKCS#12证书方式拨VPN的过程---------------

 

 

提示输入私钥密码,默认为空

接下来开始建立隧道

隧道建立成功后就可以访问内网的服务资源了

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式