“Firewall for vpn”的版本间的差异

来自WFilter上网行为管理系统文档和指南
跳转至: 导航搜索
单臂部署
(未显示同一用户的3个中间版本)
第1行: 第1行:
{{DISPLAYTITLE:和VPN相关的防火墙权限}}
+
{{DISPLAYTITLE:VPN常见问题}}
  
 
== Web界面的访问权限 ==
 
== Web界面的访问权限 ==
第12行: 第12行:
  
 
[[Category:VPN]]
 
[[Category:VPN]]
 +
 +
== 多条外线的注意事项 ==
 +
 +
多条外线时,要在“接口设置”-“外网口”中把VPN的那条外线的“接口跃点数”设置为最小。
  
 
== 单臂部署 ==
 
== 单臂部署 ==
第19行: 第23行:
 
** ipsec:目的网段是对端内网网段下一跳地址指向WSG。
 
** ipsec:目的网段是对端内网网段下一跳地址指向WSG。
 
** openvpn组建site-to-site时:目的网段是对端内网网段下一跳地址指向WSG。
 
** openvpn组建site-to-site时:目的网段是对端内网网段下一跳地址指向WSG。
** openvpn远程拨入时:目的网段是openvpn内部网段(10.8.0.0/255.255.255.0)下一跳地址指向WSG。
+
** openvpn远程拨入时:目的网段是openvpn内部网段(10.8.0.0/255.255.255.0)下一跳地址指向WSG。如果有三层交换机,需要在三层上配置路由规则。
内网多网段时,还需要在三层交换机上配置静态路由:
+
** 目标网段OpenVPN(10.8.0.0/24),下一跳地址指向WSG。
+

2018年12月13日 (四) 16:14的版本


1 Web界面的访问权限

用IPSec或者OpenVPN搭建site to site的VPN后,内网之间默认就可以互访。但是如果要访问对方的WFilter NGF的Web界面,默认是不开通的。需要允许对方IP可以访问WAN口的“入”。做如下配置:

Webaccess01.png

2 允许VPN各分支之间互访

不添加此项配置,不影响分支访问总部,只是分支之间不能互访。

Ipsec center03.png

3 多条外线的注意事项

多条外线时,要在“接口设置”-“外网口”中把VPN的那条外线的“接口跃点数”设置为最小。

4 单臂部署

WSG的VPN做单臂部署时,需要在路由器/防火墙上做两条配置:

  • 端口映射:映射VPN服务的端口号
  • 静态路由:添加静态路由,把VPN网段的数据包转发到WSG。
    • ipsec:目的网段是对端内网网段下一跳地址指向WSG。
    • openvpn组建site-to-site时:目的网段是对端内网网段下一跳地址指向WSG。
    • openvpn远程拨入时:目的网段是openvpn内部网段(10.8.0.0/255.255.255.0)下一跳地址指向WSG。如果有三层交换机,需要在三层上配置路由规则。