欢迎来到天天文库
浏览记录
ID:31892164
大小:1.87 MB
页数:10页
时间:2019-01-24
《sonicwall ssl vpn 配置手册》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、SSLVPN设置SonicWALLNSA产品具有SSLVPN拨号功能,可以用SSLVPN客户端(Nextender)和防火墙建立SSLVPN连接,通过SSLVPN隧道访问到公司或组织内部网络。SSLVPN只在NSA设备的5.2.0以后的系统中可以使用,如果你的系统版本低,需要下载新的系统版本,安装后才可以使用。SSLVPN在防火墙中也是使用license进行控制的,所以在使用SSLVPN配置之前,请检查一下系统是否带有SSLVPN的license。WAN接口的General界面,Management,UserLogin,都在HTTPS方框打勾。选择SSLV
2、PN->ClientSetting.在Interface下拉框中,使用X0(LAN口)作为SSLVPN服务口,同时在WAN安全区域允许SSLVPN接入,点WAN是红色的按钮变成绿色。需要注意到是,Nextender的地址范围要和内网接口(本例是X0LAN)的地址范围一致。这个地址范围不要和其它机器冲突。(你可以启用防火墙的另外一个没有使用的端口做SSLVPN服务接口,那么你在Interface界面选择那个接口,IP地址池范围就是那个接口网段的地址)NetExtenderClientSettings是配置客户端的细致的设置。CreateClientConne
3、ctionProfile:可以使NetExtenderClient客户端软件自动保存成功连接的配置,下次连接,直接选择这个连接的参数,不用手工再次输入了。点击SSLVPN->ClientRoutes菜单下,把需要访问的服务器网段地址或服务器地址添加进去。ClientRoute界面把允许SSLVPN用户访问的主机地址和网段加入即可。防火墙自动创建SSLVPN到各个安全区域的规则,本例是SSLVPN用户访问LANPrimarySubnet,就是LAN口的整个网段,自动生成的防火墙规则在Firewall->AccessRules,SSLVPN->LAN界面可以看
4、到。建立一个用户账户,让用户使用这个账户进行VPN拨号。点击Users->localusers点击AddUser按钮在setting标签页中,输入用户名称,密码,Group标签页中,需要把用户添加到SSLVPNServices组中,不然会无法进行拨号VPNAccess标签页保持空白,然后点击OK完成用户设置。完成后结果如下。客户端软件配置,(Nextender客户端软件可以到https://www.mysonicwall.com/downloadcenter中下载)安装软件。或者使用WEB方式登录SSLVPN设备,直接在登录入口界面里点NetExtende
5、r图标安装软件。启动后,软件弹出一个对话框,分别输入防火墙WAN口地址,用户名,密码,和Domain。注意:Domain名称必须使用LocalDomain(区分大小写不然系统会不认)注意SSLVPN服务器地址后面的端口号:4433,因为本防火墙的WAN口的HTTPS远程管理ideas端口被修改成了4433,否则默认端口443,这个SSLVPN服务器地址后无需输入端口号。点击connect,经过一段时间,显示连接成功如果要允许SSLVPN用户使用WEB浏览器登录,那么WAN接口的Management“HTTPS”,UserLogin中的“HTTPS”必须选中
6、.如果WAN的HTTPS远程管理没有允许,用户根本不能通过WEB方式到达用户认证界面。如果HTTPS远程管理允许了,但是UserLogin没有允许,SSLVPN用户通过浏览器可以到达SSLVPN用户认证界面,但是登录会失败,说没有权限。如果用户只采用NetExtender客户端软件连接VPN设备,“HTTPS”Management不是必须的,但是UserLogin中的“HTTPS”必须选中。简而言之:Ø使用SSLVPN功能,WAN接口的UserLogin中的“HTTPS”必须选中,不论WEB方式登录,还是NetExtender独立客户端软件方式登陆。ØWE
7、B方式登录,HTTPS远程管理必须打开使用WEB方式登录https://123.127.134.147:4433,点ClickhereforSSLVPNlogin如果WAN接口的UserLogin的HTTPS没有允许,SSLVPN不允许登录SSLVPN入口界面UserLogin允许之后,SSLVPN用户登录成功。点NetExtender图标,自动安装NetExtender软件。如果你使用Vista浏览器在保护模式,你必须SSLVPN的URL添加到浏览器的可信站点里,才能安装软件。修改NetExtender的端口号和防火墙HTTPS远程管理的端口号一致。Sy
8、stem->Administration界面可以修改防火墙远程管理
此文档下载收益归作者所有