我们前面已经介绍,H3C的SSL VPN可以提供三种资源接入方式,分别为Web接入方式(SSL VPN配置Web接入方式案例)、TCP接入方式(别只会用WebVPN了!实战图解SSL VPN的TCP接入,远程桌面、SSH访问一键搞定)和IP接入方式(VSR白送的的SSL VPN功能,你要不要?)。而VSR默认自带了15个授权,用起来非常亲民。
前段时间我们介绍MSR810用作AC来配置无线网络时(400元自建企业级Wi-Fi!零基础搭建AC+瘦AP环境,全网最简组网指南),许多读者好奇,H3C的MSR810系列路由器是否像VSR一样自带免费的SSL VPN授权?这样有了DDNS就能远程访问家庭网络了。
一时语塞,之前一直说硬件防火墙默认自带15个免费授权,硬件路由器还真没测试过。我们先看看授权文档里面怎么说的:
可以看到,MSR810、MSR810-W、MSR810-LM和MSR810-W-LM这4个常用款型都支持SSL VPN特性,最大支持的SSL VPN数量均为60个,但是没写默认授权数量,既然官方文档未明确说明,那就请跟随本文实战配置来一探究竟吧。
为了方便大家抄作业,我们本次还是将3种接入方式融合到一个网关上进行测试。与分别配置三种方式不同,将Web、TCP、IP接入方式整合在同一个SSL VPN访问实例中,这样做的好处是可以缩小公网暴露面,而且WEB资源和TCP资源都整合在WEB页面,可根据授权访问所有类型的资源,体验更佳。
首先配置PKI域,并导入CA证书和服务器证书,在Windows系统中生成证书的方法可以参考文章(Windows Server配置生成认证证书),在Linux系统中生成证书的方法可以参考文章(使用Easy-RSA配置生成SSL证书)。然后配置SSL服务器端策略,并绑定PKI域。
#
pki domain tietou
public-key rsa general name tietou
undo crl check enable
pki import domain tietou pem ca filename ca.crt
pki import domain tietou p12 local filename msr.p12
#
ssl server-policy tietou
pki-domain tietou
3种接入方式下,SSL VPN网关配置的IP地址和端口号可以合并为一个。
#
sslvpn gateway tietou
ip address 192.168.1.81 port 10086
ssl server-policy tietou
service enable
IP接入方式需要创建SSLVPN-AC接口,以及为SSL VPN客户端分配地址的地址池。
#
interface SSLVPN-AC1
ip address 10.172.192.1 255.255.255.0
#
sslvpn ip address-pool tietou 10.172.192.10 10.172.192.250
接下来,我们就可以把3种接入方式的访问实例配置融合到一起了。IP接入方式添加资源172.16.0.0/16,Web接入方式添加192.168.1.11等主机的HTTP和HTTPS管理页面,TCP接入方式添加192.168.1.11等主机的SSH、FTP、Telnet、HTTP和HTTPS端口。
#
sslvpn context tietou
gateway tietou
ip-tunnel interface SSLVPN-AC1
ip-tunnel address-pool tietou mask 255.255.255.0
port-forward-item ftp11
local-port 17021 local-name 127.0.0.1 remote-server 192.168.1.11 remote-port 21
port-forward-item http11
local-port 17080 local-name 127.0.0.1 remote-server 192.168.1.11 remote-port 80
port-forward-item https11
local-port 17443 local-name 127.0.0.1 remote-server 192.168.1.11 remote-port 443
port-forward-item ssh11
local-port 17022 local-name 127.0.0.1 remote-server 192.168.1.11 remote-port 22
port-forward-item telnet11
local-port 17023 local-name 127.0.0.1 remote-server 192.168.1.11 remote-port 23
port-forward tietoutcp
resources port-forward-item ftp11
resources port-forward-item http11
resources port-forward-item https11
resources port-forward-item ssh11
resources port-forward-item telnet11
ip-route-list tietouip
include 172.16.0.0 255.255.0.0
url-item http11
url http://192.168.1.11
url-item https11
url https://192.168.1.11
url-item http81
url http://192.168.1.81
url-item https81
url https://192.168.1.81
url-list tietouweb
heading Tietou_SSL
resources url-item http11
resources url-item https11
resources url-item http81
resources url-item https81
policy-group tietou
resources port-forward tietoutcp
ip-tunnel access-route ip-route-list tietouip
resources url-list tietouweb
default-policy-group tietou
service enable
最后就是创建授权有策略组的用户组,并创建本地SSL VPN用户。
#
user-group tietou
authorization-attribute sslvpn-policy-group tietou
#
local-user tietou1 class network
password simple tietou1
service-type sslvpn
group tietou
然后就可以访问SSL VPN的网关Web页面进行登录了。
登录成功之后的页面如下所示:
其中,书签部分是WEB资源,点击链接即可直接访问;TCP资源部分就是TCP资源,启动TCP客户端需要本地系统具有Java环境,并且要添加例外站点(别只会用WebVPN了!实战图解SSL VPN的TCP接入,远程桌面、SSH访问一键搞定);IP接入方式直接使用iNode客户端进行连接即可。
如果你还想对用户访问的资源进行授权管理,可以参考之前一篇关于IP接入方式访问控制的文章(SSL VPN访问控制)。
此外,缺省情况下,同一用户的同时最大在线数为32,如果用到分类用户了,我们一般建议将每个用户名的同时最大在线数限制为2-3个,按接入终端计算。配置方式为在SSL VPN访问实例视图中配置,同时开启达到最大在线数再登录时强制下线功能。
#
sslvpn context tietou
max-onlines 3
force-logout max-onlines enable
与此相关的有一个SSL VPN访问实例的最大会话数,缺省最大会话数为1048575,这个就不用管了。还有每个会话的最大连接数缺省为64,也不用管。还有一个SSL VPN会话保持空闲状态的最长时间,缺省为30分钟,可以视情况进行调整。
#
sslvpn context tietou
timeout idle 60
如果接入用户比较多,而带宽相对有限的话,配置限速还是很有必要的。主要针对IP接入方式,配置限速功能的命令如下:
#
sslvpn context tietou
ip-tunnel rate-limit upstream kbps 2048
ip-tunnel rate-limit downstream kbps 2048
或者可以基于会话进行限速,命令如下:
#
sslvpn context tietou
rate-limit upstream 1024
rate-limit downstream 1024
好了,目前来看,MSR810设备默认也是赠送了SSL VPN的软件授权,可以直接使用,配置上与VSR几乎保持一致。不过这个授权数量需要我以后找多点虚拟机来进行测试了。
声明:来自铁军哥,仅代表创作者观点。链接:https://eyangzhen.com/3516.html
