一、组网需求
通过安卓或者IOS客户端接入SSL
VPN,实现与内部保护子网的通信。
最新安卓客户端已经上传到RTR版本管理系统提供下载;in
IOS客户端在App Store中已可下载,搜索应用名称“ruijie vpn",图标:
注意:搜索关键字“ruijie vpn",会同时搜索出另外锐捷ssl客户端应用,且图标类似,这个是EG客户端VPN
connect,需注意不要安装错误;
二、网络拓扑
三、配置要点
在配置SSL网关功能之前,默认情况下确保客户端到网关的TCP443、TCP888端口是开放的(注意:手机客户端默认接入端口目前无法修改),本案例是在两端都以设置好了基本的通信功能后做的配置。
配置的基本步骤如下:
1、配置网关上
SSL VPN配置
2、配置手机客户端
四、隧道模式配置使用
手机的SSL隧道资源实现的方式是IP隧道方式的通信。和PC使用的资源方式一样,可以直接参考PC客户端使用的SSL
VPN方式。
大多数使用场景为连接上VPN后,通过VPN隧道访问第三方应用,如FTP客户端、远程桌面客户端、其他APP应用等。
少数场景用来访问WEB资源。
注:隧道资源暂时不支持公网隧道和信息孤岛的功能,所以无法实现阻止客户端上公网的功能。
1、配置VPN网关
选择“SSL VPN”“资源管理”
点击“添加”如下图所示
服务资源:配置服务资源,填写资源的域名或者资源的IP地址,端口,服务类型、协议以及服务器的资源路径和资源端口
上图的配置如下:
· 资源名称:32.208
· 资源地址:192.168.32.208
· 服务类型:HTTP
· 协议:TCP
· 服务端口:80
点击“用户认证”,“本地用户数据库”,如图
点击“添加”
上图的配置如下:
用户名:aa
用户口令:aa
确认口令:aa
允许用户登录
点击“确定”,会提示选择用户组的界面,现在我们点击不加入,在后面新建好用户组后手动分配。
选择“SSL 用户设置”
点击“用户组管理”,如图
将左侧的本地用户数据库内的用户加入到SSL 用户里
选择【SSLVPN用户组】
点击“添加”
填写用户组名称等信息,完成后点击提交按钮;
上图配置如下:
· 用户组名:aa
· 允许登录时间:所有时间
· 允许登录地址:任意地址
· 显示主机资源、服务资源
完成后选中该资源,编辑成员
上图的配置:
· 组内用户:aa
完成后,选中用户组的用户,分配资源
2、客户端接入
在手机上打开SSL Android客户端,填写用户名和密码进行登录
上图配置:
· 服务地址:172.18.3.2
· 登录方式:用户名密码
· 用户帐号:aa
· 用户密码:aa
· 记录登录信息
点击登录
登录成功的显示页面,点击相应的资源地址,即可访问该资源,如下
五、web代理资源配置使用
手机的WEB代理资源实现的方式是通过VPN网关的HTTP代理方式来访问内网的WEB资源,可以实现跨站的WEB资源访问。
使用场景为多跨站、多类型的WEB资源访问。
注:需要保证VPN网关与资源服务器的连通性。
1、配置VPN网关
选择“SSL VPN”“资源管理”
点击“添加”如下图所示
WEB资源:配置WEB资源,填写资源的域名或者资源的IP地址,端口,协议类型、资源路径以及扩展规则
WEB资源可以配置HTTP ,HTTPS协议的资源
上图的配置如下:
资源名称:http
资源地址:192.168.140.182
资源路径:(填写所要访192.168.140.182问资源的WEB目录路径,那么直接点击资源后就会直接跳转打开http:// 192.168.140.182/123456789)
协议类型:HTTP
资源端口:80
扩展规则:* (填写所要访内外或外网网站的扩展属性)
*可通配多个字符,?可通配单个字符
例如:当资源地址为www.qq.com时,扩展规则可以填写如下几种方式
(1) 扩展规则填写
*.qq.com ,此时可以访问www.qq.com;map.qq.com;guanjia.qq.com;sj.qq.com等网站
(2) 扩展规则填写
???.qq.com ,此时只能访问www.qq.com;map.qq.com网站,不能访问guanjia.qq.com;sj.qq.com等网站
(3) 扩展规则直接填写 * ,此时可以访问www.qq.com; map.qq.com;www.baidu.com;www.sina.com.cn等任意的网站
注:填写的扩展规则的表达式一定要包含资源地址的域名或IP地址
例如:当资源地址为www.qq.com时,扩展规则填写m?p.qq.com ,此时就不能访问当前资源www.qq.com了。
下载手机版火狐浏览器,并将文件上传到WEBUI系统工具的软件管理中
注:访问WEB资源必须下载火狐浏览器并设置相关属性才可正常使用。
· 软件名称:选择手动输入huohu.apk
· 软件版本:可随意填写
1.1.1
完成之后,点击上传完成提交。
2、客户端接入
在手机上打开SSL Android客户端,填写用户名和密码进行登录
上图配置:
· 服务地址:172.18.3.2
· 登录方式:用户名密码
· 用户帐号:aa
· 用户密码:aa
· 记住密码
点击登录,登录成功的显示页面
点击WEB资源,会提示需要下载火狐浏览器进行访问,点击确定
在弹出的网关软件下载中心页面下载刚刚上传的huohu.apk文件,并安装
完成之后,打开火狐浏览器,按照如下方式进行设置(可参考客户端下端的帮助选项)
打开火狐浏览器,在地址栏输入about:config,并搜索proxy关键字
修改参数network.proxy.http为127.0.0.2、修改参数network.proxy.http_port为50000
修改参数network.proxy.socks_remote_dns为ture (默认为false,须改为ture)
修改参数network.proxy.ssl为127.0.0.2、修改参数network.proxy.ssl_port为50000
修改参数network.proxy.type为1,完成修改后即可使用
打开资源进行访问
六、TCP应用资源配置使用
手机的TCP应用资源实现的方式是通过VPN的TCP协议的代理完成的通信访问,只能针对TCP协议的单个端口的代理访问。
此模式实际场景中实现存在很多限制,现在已经可以被隧道资源完全替代使用。
(如果VPN版本或者客户端版本还不支持隧道资源的访问,那么只能使用此TCP应用资源)
注:需要保证VPN网关与资源服务器的连通性。
1、配置VPN网关
选择“SSL VPN”“资源管理”
点击“添加”如下图所示
服务资源:配置服务资源,填写资源的域名或者资源的IP地址,端口,服务类型、协议以及服务器的资源路径和资源端口
上图的配置如下:
资源名称:32.208
资源地址:192.168.32.208
资源路径:(填写所要访192.168.32.208问资源的WEB目录路径,那么直接点击资源后就会直接跳转打开http:// 192.168.32.208/123456789)
服务类型:HTTP
协议:TCP
服务端口:80
监听地址:127.0.0.1
监听端口:3456
注:监听地址必须为127开头的地址,端口必须为1024以上的端口
如果填写资源域名的情况下,必须确保VPN网关能够正确的解析该域名。当解析成功后,会自动把解析出来的地址填在资源IP里。如果网关对所填写的域名无法解析请手动填写资源IP.
2、手机客户端接入
在手机上打开SSL Android客户端,填写用户名和密码进行登录
· 服务地址:172.18.3.2
· 登录方式:用户名密码
· 用户帐号:aa
· 用户密码:aa
· 记录密码
点击登录,登录成功的显示页面
点击相应的资源地址,即可访问该资源,如下图
