准备条件:
1、确保防火墙有固定公网IP,且能正常上网
2、防火墙能访问到内网设备
配置步骤:
1、登录web管理界面,选择网络—sslvpn—新建
2、打开新建向导后,第一步按照配置项进行,名称自己定义,类型选择独占,网关地址选择手动配置或者已经配置了公网IP的出接口,会自动填入出接口IP作为网关,端口建议不要使用默认,自己设置一个即可,然后进入下一步。
3、第二步ssl配置一般保持默认即可,进入下一步
4、如果只是想达到上述管理内网需求,这一步只选择网络扩展即可,然后下一步。
5、“可分配IP地址范围”里输入虚拟网卡的虚拟IP段(此步必需,网上好多教程里没有),路由模式选择手动,然后在下方新建内网IP段,也就是你需要管理的设备所在IP段,前提是这些IP段对防火墙来讲是网络可达的。然后下一步。
6、点击编辑按钮,进入角色授权编辑,勾选网络扩展,然后确定;
点击用户组的编辑按钮,进入用户组编辑,同样选择手动路由模式,添加需要管理的内网IP段。然后点击确定返回
点击完成,即可完成对SSL的配置,下来需要创建用户,允许登陆并使用SSL VPN
7、点击对象—用户—default,进入用户管理,然后新建用户
8、按照自己需求创建用户并设置密码,用户组保持默认(这里的用户组一定是刚才在SSL VPN配置时授权的用户组,否则无法登陆),确定后完成用户创建。创建完成后,记得点击页面下方的“应用”按钮。
9、接下来就是配置vpn的安全策略,一般建议配置两条,一条用户控制用户登陆,只对vpn服务(需要预先在服务中手动添加一个针对开始创建的vpn端口的服务)放行,允许登陆;另一条是针对用户登陆访问内网设备的策略。可以参考下方的策略配置
