【簡介】通過前面的實驗，我們已經(jīng)了解了SSL VPN的隧道模式。FortiClient客戶端撥號后，訪問服務(wù)器IP的流量，會通過安全隧道到達(dá)遠(yuǎn)端防火墻，并訪問DMZ接口下的服務(wù)器。那如果我想讓更多的訪問走安全隧道，但是又不確定是哪些IP地址，這個有辦法嗎？

??實驗要求與環(huán)境

　　OldMei集團(tuán)深圳總部防火墻有兩條寬帶，一條普通寬帶用來上網(wǎng)，另一條MPLS專線用來訪問指定網(wǎng)站。并且網(wǎng)站綁定了專線IP，只有這個IP才能訪問。

　　新冠疫情前，大家在公司辦公，可以很方便的訪問指定網(wǎng)站。新冠疫情后，全員居家辦公，要求除了能安全的遠(yuǎn)程訪問公司內(nèi)部服務(wù)器外，也要能通過公司MPLS專線，訪問指定網(wǎng)站。

??配置前的準(zhǔn)備

　　由于當(dāng)前我們的實驗環(huán)境是沒有互聯(lián)網(wǎng)的，為了模擬MPLS專線，我們需要給FortiWiFi 60E深圳總部防火墻，接入一條真實的寬帶。

　?、?筆記本無線連接OldMei-深圳SSID。然后通過https://192.168.10.1登錄深圳總部防火墻。

　　② 深圳總部防火墻已經(jīng)有一條寬帶，配置在wan1接口，我們需要把新加的MPLS專線配置在wan2口中。選擇菜單【網(wǎng)絡(luò)】-【接口】，選擇wan2口，點擊【編輯】，然后輸入專線IP。

　?、?專線IP配置好后，我們還要配置默認(rèn)網(wǎng)關(guān)。選擇菜單【網(wǎng)絡(luò)】-【靜態(tài)路由】，點擊【新建】。

　?、?選擇接口【wan2】，輸入網(wǎng)關(guān)地址。這里要多做一步，就是修改優(yōu)先級。點擊【高級選項】，優(yōu)先級默認(rèn)為1，修改為大于1的數(shù)字即可，這里改為5。為什么要改優(yōu)先級？優(yōu)先級起什么作用？往下看。

　　⑤ 選擇菜單【儀表板】-【網(wǎng)絡(luò)】，點擊【路由】。

　?、?可以看到路由表內(nèi)容，但是欄目里并沒有看到優(yōu)先級，鼠標(biāo)右擊欄目，彈出菜單里選擇【優(yōu)先級】。

　?、?現(xiàn)在我們可以看到，路由表中顯示有兩默默認(rèn)路由，分別是wan1和wan2兩個接口，它們的管理距離都是10，這是新建靜態(tài)路由時的默認(rèn)設(shè)置，只有管理距離數(shù)值最小的，才會顯示在路由表中，這里兩個管理距離都是10，所以都顯示在路由表中，也就表示兩條寬帶可以同時使用。

　　新建靜態(tài)路由時，默認(rèn)優(yōu)先級是1，數(shù)字越小越優(yōu)先。如果兩個默認(rèn)路由優(yōu)先級都是1，就會產(chǎn)生沖突，訪問的數(shù)據(jù)不知道該走哪個網(wǎng)關(guān)。由于MPLS專線不是經(jīng)常用于上網(wǎng)，因此將專線的優(yōu)先級設(shè)置大于1。那么這種情況下，數(shù)據(jù)走wan1網(wǎng)關(guān)。

　　那要走wan2怎么辦，使用策略路由，因為策略路由優(yōu)先于靜態(tài)路由。這個我們在后面的配置中會用到。

???配置SSL VPN

　　在我們的實驗環(huán)境增加了一條模擬MPLS專線的寬帶后，我們可以配置SSL VPN了，這里我們只在上一次實驗的配置中進(jìn)行修改，不再重復(fù)講解配置過程了，不清楚的可以先看上一篇文章。

　　① 選擇菜單【VPN】-【SSL-VPN門戶】，選擇full-acces，點擊【編輯】。

　?、?隧道分割選擇【禁用】，提示說所有客戶端流量都會流向SSL-VPN隧道。也包括上網(wǎng)流量。點擊【確認(rèn)】。

　?、?修改完SSL-VPN門戶，選擇菜單【SSL-VPN設(shè)置】，這里不用做大的改動，都是以前的配置。

　　④?由于要走專線上網(wǎng)，建議將DNS服務(wù)器改為專線DNS。點擊【應(yīng)用】。

　　⑤?SSL-VPN門戶和SSL-VPN設(shè)置都修改完成，一下步就是要創(chuàng)建一條允許SSL VPN虛擬接口走Wan2上網(wǎng)的策略了。選擇菜單【策略&對象】-【防火墻策略】，點擊【新建】。

　　⑥ 輸入策略名稱，流入接口選擇SSL VPN虛擬接口ssl.root。

　?、?流出接口選擇wan2，表示SSL VPN要走wan2上網(wǎng)。

　?、?源地址選擇防火墻的默認(rèn)地址對象SSLVPN_TUNNEL_ADDR1，和SSL-VPN門戶里選項對應(yīng)。

　?、?SSL VPN策略的源地址比較特殊，除了要有地址對象外，還要有用戶，選擇SSL-VPN設(shè)置里對應(yīng)選項的地址組。

　?、?由于不確定要訪問哪些IP，目標(biāo)地址選擇all。

　?、?同樣不確定要訪問的類型，服務(wù)也是選擇ALL。

　　? 由于這是一條上網(wǎng)策略，默認(rèn)啟用NAT。NAT的作用，就是將內(nèi)網(wǎng)IP變成公網(wǎng)IP，對方看到的只是公網(wǎng)IP。

　　? 點擊【確認(rèn)】，本以為會保存策略，但是沒有想到會彈出一個紅色報警提示。查看提示內(nèi)容，說tunnel-acces啟用了隧道分割，所以目標(biāo)地址不能是all。

　　? 回到SSL-VPN門戶，編輯tunnel-access，我就納悶了，都沒用到這個門戶呀。?

　　? 還是老老實實禁用隧道分割。

　　? 再次創(chuàng)建SSL VPN到Wan2口的策略，點擊【確認(rèn)】。?

　　? 這次策略創(chuàng)建成功，因此我們有了兩條策略，一條是以前創(chuàng)建的SSL VPN訪問服務(wù)器的策略，另一條就是剛剛建立的SSL VPN走Wan2上網(wǎng)的策略。

??檢驗效果

　　所有配置都完成了，筆記本電腦關(guān)掉所有無線，有線連接模擬互聯(lián)網(wǎng)的FortiWiFi 60D。

　?、?管理員在家中上網(wǎng)，打開FortiClient VPN，輸入用戶名和密碼，點擊【連接】。

　?、?撥號連接成功。

　　③ 用ipconfig/all命令查看，可以看到有生成SSL VPN虛擬網(wǎng)卡，獲取的IP地址是防火墻地址對象SSLVPN_TUNNEL_ADDR1分配的，也得到了我們在SSL-VPN設(shè)置中修改的網(wǎng)關(guān)。

　?、?用route print查看路由表，可以看到所有流量都會走SSL VPN隧道出去。

　　④ 從筆記本電腦Ping遠(yuǎn)端防火墻Wan2接口，以及Wan2接口的下一路，都可以通，但是Ping公網(wǎng)IP卻不通，有人知道這是為什么嗎？

　?、?復(fù)習(xí)一下我們前面學(xué)習(xí)的內(nèi)容，兩條寬帶的默認(rèn)路由，Wan1的優(yōu)先級是1，Wan2的優(yōu)先級是5，所以所有的訪問會走Wan1的網(wǎng)關(guān)。那有人要問了，為什么ping 172.16.188.188和172.16.188.1又能通？這是因為路由表里，有這個地址段的直連路由。

　?、?由于我們撥號后已經(jīng)能訪問防火墻的DMZ和wan2接口了，所以可以用Wan2接口IP遠(yuǎn)程登錄防火墻。在菜單里，只看到靜態(tài)路由，沒有看到策略路由。

　?、?選擇菜單【系統(tǒng)管理】-【可見功能】，啟用【高級路由】。

　　⑧ 選擇菜單【網(wǎng)絡(luò)】-【策略路由】，點擊【新建】。

　?、?流入接口，選擇SSL VPN虛擬接口。

　?、?地址選擇SSL VPN默認(rèn)配置的SSLVPN_TUNNEL_ADDR1地址對象，這里不用象策略一樣再加用戶了。

　　? 我們要建兩條策略路由，一條是到服務(wù)器的，一條是到Wan2的，由于到服務(wù)器的目標(biāo)明確，所以先建，選擇服務(wù)器地址組。

　　? 流出接口選擇DMZ口，由于沒有下一跳，網(wǎng)關(guān)地址保持為默認(rèn)的0.0.0.0，點擊【確認(rèn)】。

　　? SSL VPN到服務(wù)器的策略路由創(chuàng)建好，再創(chuàng)建一條SSL VPN到Wan2的策略路由。

　　? 內(nèi)容基本相同，不同的是目標(biāo)地址為ALL，流出接口為Wan2，網(wǎng)關(guān)地址為Wan2的下一跳。點擊【確認(rèn)】。

　　? 策略路由執(zhí)行的順序是從上往下匹配，匹配到了就不向往下走。所以我們需要將目標(biāo)明確的策略路由放上面，可以鼠標(biāo)按住最左邊的序號，然后拖動進(jìn)行排序。

　　考一考大家，如果目標(biāo)為ALL的策略，放在第一排，訪問服務(wù)器的時候會出現(xiàn)什么情況？同樣會走Wan2口出去，而不會走DMZ口。所以永遠(yuǎn)Ping不通服務(wù)器。這就是策略路由順序的重要性了。

　　? FortiClient VPN客戶端還是連接狀態(tài)，再Ping服務(wù)器IP，可以Ping通，Ping公網(wǎng)IP，也可以ping通。

　　? tracert查看路由，可以看到是通過SSL VPN隧道，到達(dá)遠(yuǎn)端防火墻Wan2的專線出去的。

　　? 筆記本電腦可以上網(wǎng)，走的是遠(yuǎn)程防火墻Wan2接口的專線，而不是本地寬帶。文章來源地址http://www.zghlxwxcb.cn/news/detail-767662.html

到了這里，關(guān)于實驗篇(7.2) 07. 通過安全隧道訪問指定網(wǎng)站 (FortiClient-SSL) ? 遠(yuǎn)程訪問的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！