“Firewall for vpn”的版本间的差异
来自WFilter上网行为管理系统文档和指南
(创建页面,内容为“{{DISPLAYTITLE:和VPN相关的防火墙权限}} == Web界面的访问权限 == 用IPSec或者OpenVPN搭建site to site的VPN后,内网之间默认就可以互访...”) |
|||
(未显示同一用户的8个中间版本) | |||
第1行: | 第1行: | ||
− | {{DISPLAYTITLE: | + | {{DISPLAYTITLE:VPN常见问题}} |
== Web界面的访问权限 == | == Web界面的访问权限 == | ||
用IPSec或者OpenVPN搭建site to site的VPN后,内网之间默认就可以互访。但是如果要访问对方的WFilter NGF的Web界面,默认是不开通的。需要允许对方IP可以访问WAN口的“入”。做如下配置: | 用IPSec或者OpenVPN搭建site to site的VPN后,内网之间默认就可以互访。但是如果要访问对方的WFilter NGF的Web界面,默认是不开通的。需要允许对方IP可以访问WAN口的“入”。做如下配置: | ||
− | [[文件:webaccess01.png| | + | [[文件:webaccess01.png|800px]] |
− | == | + | == 允许VPN各分支之间互访 == |
不添加此项配置,不影响分支访问总部,只是分支之间不能互访。 | 不添加此项配置,不影响分支访问总部,只是分支之间不能互访。 | ||
[[文件:ipsec_center03.png|800px]] | [[文件:ipsec_center03.png|800px]] | ||
+ | |||
+ | [[Category:VPN]] | ||
+ | |||
+ | == 多条外线的注意事项 == | ||
+ | |||
+ | 多条外线时,要在“接口设置”-“外网口”中把VPN的那条外线的“接口跃点数”设置为最小。 | ||
+ | |||
+ | == 单臂部署 == | ||
+ | WSG的VPN做单臂部署时,需要在路由器/防火墙上做两条配置: | ||
+ | * 端口映射:映射VPN服务的端口号 | ||
+ | * 静态路由:添加静态路由,把VPN网段的数据包转发到WSG。 | ||
+ | ** ipsec:目的网段是对端内网网段下一跳地址指向WSG。 | ||
+ | ** openvpn组建site-to-site时:目的网段是对端内网网段下一跳地址指向WSG。 | ||
+ | ** openvpn远程拨入时:目的网段是openvpn内部网段(10.8.0.0/255.255.255.0)下一跳地址指向WSG。如果有三层交换机,需要在三层上配置路由规则。 |
2018年12月13日 (四) 16:14的版本
1 Web界面的访问权限
用IPSec或者OpenVPN搭建site to site的VPN后,内网之间默认就可以互访。但是如果要访问对方的WFilter NGF的Web界面,默认是不开通的。需要允许对方IP可以访问WAN口的“入”。做如下配置:
2 允许VPN各分支之间互访
不添加此项配置,不影响分支访问总部,只是分支之间不能互访。
3 多条外线的注意事项
多条外线时,要在“接口设置”-“外网口”中把VPN的那条外线的“接口跃点数”设置为最小。
4 单臂部署
WSG的VPN做单臂部署时,需要在路由器/防火墙上做两条配置:
- 端口映射:映射VPN服务的端口号
- 静态路由:添加静态路由,把VPN网段的数据包转发到WSG。
- ipsec:目的网段是对端内网网段下一跳地址指向WSG。
- openvpn组建site-to-site时:目的网段是对端内网网段下一跳地址指向WSG。
- openvpn远程拨入时:目的网段是openvpn内部网段(10.8.0.0/255.255.255.0)下一跳地址指向WSG。如果有三层交换机,需要在三层上配置路由规则。