实验篇(7.2) 07. 通过安全隧道访问指定网站 (SSL) ❀ 远程访问

news2024/11/16 13:48:43

  【简介】通过前面的实验,我们已经了解了SSL VPN的隧道模式。FortiClient客户端拨号后,访问服务器IP的流量,会通过安全隧道到达远端防火墙,并访问DMZ接口下的服务器。那如果我想让更多的访问走安全隧道,但是又不确定是哪些IP地址,这个有办法吗?


  实验要求与环境

  OldMei集团深圳总部防火墙有两条宽带,一条普通宽带用来上网,另一条MPLS专线用来访问指定网站。并且网站绑定了专线IP,只有这个IP才能访问。

  新冠疫情前,大家在公司办公,可以很方便的访问指定网站。新冠疫情后,全员居家办公,要求除了能安全的远程访问公司内部服务器外,也要能通过公司MPLS专线,访问指定网站。

  配置前的准备

  由于当前我们的实验环境是没有互联网的,为了模拟MPLS专线,我们需要给FortiWiFi 60E深圳总部防火墙,接入一条真实的宽带。

  ① 笔记本无线连接OldMei-深圳SSID。然后通过https://192.168.10.1登录深圳总部防火墙。

  ② 深圳总部防火墙已经有一条宽带,配置在wan1接口,我们需要把新加的MPLS专线配置在wan2口中。选择菜单【网络】-【接口】,选择wan2口,点击【编辑】,然后输入专线IP。

  ③ 专线IP配置好后,我们还要配置默认网关。选择菜单【网络】-【静态路由】,点击【新建】。

  ④ 选择接口【wan2】,输入网关地址。这里要多做一步,就是修改优先级。点击【高级选项】,优先级默认为1,修改为大于1的数字即可,这里改为5。为什么要改优先级?优先级起什么作用?往下看。

  ⑤ 选择菜单【仪表板】-【网络】,点击【路由】。

  ⑥ 可以看到路由表内容,但是栏目里并没有看到优先级,鼠标右击栏目,弹出菜单里选择【优先级】。

  ⑦ 现在我们可以看到,路由表中显示有两默默认路由,分别是wan1和wan2两个接口,它们的管理距离都是10,这是新建静态路由时的默认设置,只有管理距离数值最小的,才会显示在路由表中,这里两个管理距离都是10,所以都显示在路由表中,也就表示两条宽带可以同时使用。

  新建静态路由时,默认优先级是1,数字越小越优先。如果两个默认路由优先级都是1,就会产生冲突,访问的数据不知道该走哪个网关。由于MPLS专线不是经常用于上网,因此将专线的优先级设置大于1。那么这种情况下,数据走wan1网关。

  那要走wan2怎么办,使用策略路由,因为策略路由优先于静态路由。这个我们在后面的配置中会用到。

   配置SSL VPN

  在我们的实验环境增加了一条模拟MPLS专线的宽带后,我们可以配置SSL VPN了,这里我们只在上一次实验的配置中进行修改,不再重复讲解配置过程了,不清楚的可以先看上一篇文章。

  ① 选择菜单【VPN】-【SSL-VPN门户】,选择full-acces,点击【编辑】。

  ② 隧道分割选择【禁用】,提示说所有客户端流量都会流向SSL-VPN隧道。也包括上网流量。点击【确认】。

  ③ 修改完SSL-VPN门户,选择菜单【SSL-VPN设置】,这里不用做大的改动,都是以前的配置。

  ④ 由于要走专线上网,建议将DNS服务器改为专线DNS。点击【应用】。

  ⑤ SSL-VPN门户和SSL-VPN设置都修改完成,一下步就是要创建一条允许SSL VPN虚拟接口走Wan2上网的策略了。选择菜单【策略&对象】-【防火墙策略】,点击【新建】。

  ⑥ 输入策略名称,流入接口选择SSL VPN虚拟接口ssl.root。

  ⑦ 流出接口选择wan2,表示SSL VPN要走wan2上网。

  ⑧ 源地址选择防火墙的默认地址对象SSLVPN_TUNNEL_ADDR1,和SSL-VPN门户里选项对应。

  ⑨ SSL VPN策略的源地址比较特殊,除了要有地址对象外,还要有用户,选择SSL-VPN设置里对应选项的地址组。

  ⑨ 由于不确定要访问哪些IP,目标地址选择all。

  ⑩ 同样不确定要访问的类型,服务也是选择ALL。

  ⑪ 由于这是一条上网策略,默认启用NAT。NAT的作用,就是将内网IP变成公网IP,对方看到的只是公网IP。

  ⑫ 点击【确认】,本以为会保存策略,但是没有想到会弹出一个红色报警提示。查看提示内容,说tunnel-acces启用了隧道分割,所以目标地址不能是all。

  ⑬ 回到SSL-VPN门户,编辑tunnel-access,我就纳闷了,都没用到这个门户呀。 

  ⑭ 还是老老实实禁用隧道分割。

  ⑮ 再次创建SSL VPN到Wan2口的策略,点击【确认】。 

  ⑯ 这次策略创建成功,因此我们有了两条策略,一条是以前创建的SSL VPN访问服务器的策略,另一条就是刚刚建立的SSL VPN走Wan2上网的策略。

  检验效果

  所有配置都完成了,笔记本电脑关掉所有无线,有线连接模拟互联网的FortiWiFi 60D。

  ① 管理员在家中上网,打开FortiClient VPN,输入用户名和密码,点击【连接】。

  ② 拨号连接成功。

  ③ 用ipconfig/all命令查看,可以看到有生成SSL VPN虚拟网卡,获取的IP地址是防火墙地址对象SSLVPN_TUNNEL_ADDR1分配的,也得到了我们在SSL-VPN设置中修改的网关。

  ③ 用route print查看路由表,可以看到所有流量都会走SSL VPN隧道出去。

  ④ 从笔记本电脑Ping远端防火墙Wan2接口,以及Wan2接口的下一路,都可以通,但是Ping公网IP却不通,有人知道这是为什么吗?

  ⑤ 复习一下我们前面学习的内容,两条宽带的默认路由,Wan1的优先级是1,Wan2的优先级是5,所以所有的访问会走Wan1的网关。那有人要问了,为什么ping 172.16.188.188和172.16.188.1又能通?这是因为路由表里,有这个地址段的直连路由。

  ⑥ 由于我们拨号后已经能访问防火墙的DMZ和wan2接口了,所以可以用Wan2接口IP远程登录防火墙。在菜单里,只看到静态路由,没有看到策略路由。

  ⑦ 选择菜单【系统管理】-【可见功能】,启用【高级路由】。

  ⑧ 选择菜单【网络】-【策略路由】,点击【新建】。

  ⑨ 流入接口,选择SSL VPN虚拟接口。

  ⑩ 地址选择SSL VPN默认配置的SSLVPN_TUNNEL_ADDR1地址对象,这里不用象策略一样再加用户了。

  ⑪ 我们要建两条策略路由,一条是到服务器的,一条是到Wan2的,由于到服务器的目标明确,所以先建,选择服务器地址组。

  ⑫ 流出接口选择DMZ口,由于没有下一跳,网关地址保持为默认的0.0.0.0,点击【确认】。

  ⑬ SSL VPN到服务器的策略路由创建好,再创建一条SSL VPN到Wan2的策略路由。

  ⑭ 内容基本相同,不同的是目标地址为ALL,流出接口为Wan2,网关地址为Wan2的下一跳。点击【确认】。

  ⑮ 策略路由执行的顺序是从上往下匹配,匹配到了就不向往下走。所以我们需要将目标明确的策略路由放上面,可以鼠标按住最左边的序号,然后拖动进行排序。

  考一考大家,如果目标为ALL的策略,放在第一排,访问服务器的时候会出现什么情况?同样会走Wan2口出去,而不会走DMZ口。所以永远Ping不通服务器。这就是策略路由顺序的重要性了。

  ⑯ FortiClient VPN客户端还是连接状态,再Ping服务器IP,可以Ping通,Ping公网IP,也可以ping通。

  ⑰ tracert查看路由,可以看到是通过SSL VPN隧道,到达远端防火墙Wan2的专线出去的。

  ⑱ 笔记本电脑可以上网,走的是远程防火墙Wan2接口的专线,而不是本地宽带。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/611388.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

最受欢迎的十个开源大数据技术

导读大数据已然成为当今最热门的技术之一,正呈爆炸式增长。每天来自全球的新项目如雨后春笋般涌现。幸运地是,开源让越来越多的项目可以直接采用大数据技术,下面就来盘点最受欢迎的十大开源的大数据技术。 大数据已然成为当今最热门的技术之…

热烈庆祝兴业法拍网与中关村科技融资担保有限公司签订业务合作

6月1日,兴业法拍网与北京中关村科技融资担保有限公司签订“法拍贷”合作协议。 “法拍贷”是以法院房产拍卖为核心、线上平台拓宽拍卖渠道、保险公司提供阶段性保证、公证机构加大司法效力、银行提供全程金融服务的“14”创新合作模式。该模式汇聚五方合力让更多竞…

在本地Windows 11 系统的桌面版Docker上搭建PlantUML

文章目录 在本地Windows系统的桌面版Docker上搭建PlantUML简介步骤步骤 1:安装Docker Desktop步骤 2:启动Docker Desktop步骤 3:拉取PlantUML镜像步骤 4:运行PlantUML容器步骤 5:访问PlantUML Web界面 结论参考资料 结…

stable-diffusion-webui 更换 Python 版本

目录 一、原因二、解决方法 一、原因 stable-diffusion-webui 推荐版本是 Python 3.10 ,如果电脑中安装了其他版本到Python,会警告推荐使用Python 3.10版本。 官方安装教程 Automatic Installation on Windows Install Python 3.10.6 (Newer version of…

OBS如何做绿幕直播(滤镜实现去除绿色背景)

OBS如何做绿幕直播(滤镜实现去除绿色背景) 一、设备 推流电脑(i7及以上,16G内存,独显加分)不推荐笔记本和苹果电脑。摄像头(单反或摄像机需要配备采集卡和收音设备)。补光灯。稳定…

k8s概述

前言 通过linux基于cgroup,ns,及rootfs的学习,我们了解了基于容器技术原理。在大规模情况下,单单容器技术完全不够,k8s的出现就是解决 在大规模集群中存在各种各样的任务,任务之间又有着各样的关系。对于这些关系要如何处理优雅得…

tinkerCAD入门操作(4):使用对齐工具和工作平面帮助程序

tinkerCAD入门操作(4):使用对齐工具和工作平面帮助程序 介绍 在本课中,我们将建造一座简单的城堡。您将了解有关对齐工具、镜像和帮助程序工具的所有信息。 开始 您将使用的第一个工具是对齐工具。 无需使用鼠标仔细定位两个部分,对齐工具…

团队管理之性能实施团队日志6

一、从问题统计看进度风险 从统计来看,近三个星期过去 了,发现了 59 个问题。28 个是性能问题还需要再细分类型,现在这个还是粗了点,比如说配置问题、代码问题。 所以笼统说来除了这里的功能问题之外,其他的基本上都是…

对话中科易安市场经理:联网智能门锁之运行、运营与运维

大家好!我是中科易安市场部的市场经理,相信很多中科易安联网智能门锁的新老朋友对我并不陌生,或许我们没有面见,但是每一篇中科易安发布的原创推文皆出自我手。此刻,我想和中科易安的产品用户、客户以及媒体朋友们&…

weblogic 重置密码|修改密码

一:重置密码: 我本机的文件目录: /u01/wls12214/Middleware/user_projects/domains/wls_domain/ 第一步删除: DefaultAuthenticatorlnit.ldift (先对此文件备份,防止后续异常可复原) 删除此文件…

使用Leangoo领歌敏捷工具实施多团队规模化敏捷

多团队大规模敏捷的场景定义: 多个敏捷团队开发同一个大型产品,几十人,甚至几百人开发一个产品或解决方案。 在Leangoo领歌中创建多团队大规模敏捷项目: 多团队规模化敏捷的项目结构: 在Leangoo企业中创建项目&…

图解LeetCode——230. 二叉搜索树中第K小的元素

一、题目 给定一个二叉搜索树的根节点 root ,和一个整数 k ,请你设计一个算法查找其中第 k 个最小元素(从 1 开始计数)。 二、示例 2.1> 示例 1: 【输入】root [3,1,4,null,2], k 1 【输出】1 2.2> 示例 2&…

数据库优化之常用的show variables、show status配置优化

文章目录 ⭐️ MySQL优化-配置优化1、show variables查看MySQL服务器配置参数1)查看及调整系统配置变量值2)查询缓存相关参数: 2、show status查看MySQL服务器运行状态值1)调整max_connections:2)调整back_…

chatgpt赋能python:Python可以烧录进硬件里吗?

Python可以烧录进硬件里吗? Python编程语言已经成为了越来越多的开发工程师的首选工具。这是一门易学易用的编程语言,以其灵活性、可读性和功能强大而受到广泛的青睐。因此,许多人都很自然地想知道这个问题:Python可以烧录进硬件…

公司大规模裁员的时间轴

正如我们常说的公司在大规模裁员之前是有很多征兆的,不是就拍怕脑袋决定的。 这次公司的裁员真的属于教科书级别的裁员,因此觉得记录下公司整个过程的时间轴是有意义的,希望能够给所有朋友有个参考。 也很想知道的是,如果是你&am…

react组件性能优化探索实践

React本身就非常关注性能,其提供的虚拟DOM搭配上Diff算法,实现对DOM操作最小粒度的改变也是非常的高效。然而其组件渲染机制,也决定了在对组件进行更新时还可以进行更细致的优化。 react组件渲染 react的组件渲染分为初始化渲染和更新渲染。…

PB12.5 获取ip与计算机名

/建立全局的结构s_wsadata //结构如下: //version unsignedinteger //highversion unsignedinteger //description[257] character //systemstatus[129] character //maxso…

MySQL基础知识每日总结(5)

regexp检查总是返回0(没有匹配)或者1(匹配) 一、CASE表达式 1.两种写法 ①简单case表达式 case sex when 1 then 男when 2 then 女else 其他 end②搜索case表达式 casewhen sex 1 then 男when sex 2 then 女else 其他 end以上两种写法结果相同,但是简单case表达…

SpringCloudAlibaba:服务注册与发现之Nacos学习

目录 一、服务注册与发现介绍 1、常见注册中心 2、服务注册与发现的基本流程是: 3、服务注册与发现的主要好处是: 二、Alibaba Nacos 介绍 三、Nacos基本使用 1.linux安装包方式单节点安装部署 1. jdk安装配置 2. nacos安装 2.Nacos集成SpringBoot实现服务注册与发现…

跨国企业的组网需求分析

【案例背景】 经济全球化的背景下,跨国企业如何解决数据远距离传输的问题,稳定、安全、快速地搭建企业内网,影响着业务的正常开展。 【客户需求】 这家跨国企业在国内外均有办事处,其中国内的办公人员需要访问位于国外的内部服务…