服务器端配置(防火墙1):
客户端配置(防火墙2):
2. 然后,需要使用用户证书和ca证书,所以导入证书到防火墙。
在菜单“vpn→证书→用户证书(私钥)”中,点击“添加”按钮,添加用户证书(私钥)。点击“ca证书”链接,在“vpn→证书→ca证书”中添加ca证书。服务器端和客户端导入的ca证书必须是一致的,导入的用户证书必须是由同一个ca签发的证书。具体添加证书过程请参考3.10.3章节。
3. 在菜单“vpn→ssl vpn”中,点击“添加”按钮,添加一条连接两个防火墙的ssl vpn通道。注意,服务器端和客户端的配置略有不同:
配置ssl vpn服务器端时,需要配置以下选项:
配置ssl vpn客户端时,需要配置以下选项
根据本例中的需求,服务器端和客户端公共的配置应按照以下配置:
1 隧道模式选择路由;
2 协议选择udp或者tcp,默认为udp协议;
3 端口默认为1194;
4 选择适当的加密算法和认证算法,加密算法默认为aes-128,认证算法默认为sha1;
5 本地证书和ca证书应该是正确的并且已经由ca签发的证书;
6 选择是否使用用户认证,默认是不使用。如果服务器端选择用户认证,那么还应当在“定义”-]“用户”中添加ssl vpn的用户;
7 选择是否使用压缩传输,默认是不使用;
服务器端还应做以下配置:
1 配置最大客户端数目,默认为100个;
2 配置本地子网,在本例中选择subnet1
3 配置ip池,在本例中选择ssl_vpn
在对服务器端的隧道配置完成以后,还要在“客户端子网配置”页面中添加客户端的子网。
需要在这里添加客户端的子网,名字是客户端配置时,使用证书中的cn(common name)字段,必须和客户端保持一致,并且唯一。
客户端还应做以下配置:
1 服务器地址,可以是ip地址,也可以是域名,本例中应为202.106.04.30;
2 如果选择使用用户认证,还需要输入用户名和密码;
服务器和客户端配置图示如下:
客户端配置
4. 最后,在菜单“防火墙→策略”中,点击“添加”按钮,添加一条使用ssl vpn隧道“server”的策略,激活ssl vpn隧道,并在防火墙上设置相应的策略以保证符合条件的流量通过。
服务器端策略设置
客户端策略设置