某客户希望通过iPhone、iPad、Android手机使用系统自带的浏览器接入SSL VPN访问内网资源,直接通过手机进行移动办公。
由于客户内部的BBS系统是用JSP所写的,系统交互复杂,并且脚本、控件调用极多,不适合使用WEB应用,因此只能使用L3VPN。
配置步骤如下:
第一步:进入『系统设置』→『SSL VPN选项』→『系统选项』→『接入选项』页面,
勾选“启用PPTP接入服务”,界面如下图所示:
第二步:进入『SSL VPN设置』→『策略组管理』页面,新增策略组,勾选“允许使用PPTP/L2TP方式接入”,界面如下图所示:
第三步:进入『SSL VPN设置』→『用户管理』页面,在需要PPTP接入的用户和用户组属性中关联第2步设置的组策略。
第四步:进入『SSL VPN设置』→『资源管理』页面,新建L3VPN资源,添加需要通过PPTP访问的资源。
第五步:进入『SSL VPN设置』→『角色授权』页面,新建角色,关联用户/用户组和资源。
PPTP客户端接入配置:此处以用户通过iphone配置PPTP访问资源举例:
(1)通过手机自带的浏览器登录SSL VPN,显示如下页面:
注意:带P标志的资源是L3VPN资源,必须通过PPTP接入才能访问。
(2)点击“通过PPTP方式接入”,出现接入帮助,安装描述文件到手机。
(3)设置PPTP VPN登录,返回iphone主页面,打开“设置”:
(4)连接成功后,可以看到“VPN”选项的开关变成了蓝色,右上角出现“VPN”的小图标。然后就可以通过浏览器或者应用程序访问内网应用了。
(5)需要退出PPTP VPN时,请关闭“VPN”选项的开关。后续可直接连接PPTP VPN访问资源。
(6)记住PPTP登录的密码。设置页面打开“通用”-“网络”-“VPN”,点击下图蓝色的箭头:
在密码项中填入密码后点击“存储”,以后打开VPN连接后无需再输入密码。
至此,完成了PPTP的整个配置,可以使用手机访问公司内部的BBS系统了。
SSL设备单臂模式部署时,需要(1)前端设备除了映射SSL 用户接入的TCP 80和443端口外,还需要映射TCP 1723端口;(2)前端设备必须支持PPTP应用穿透,即需要前端设备放通协议号47。
通过PPTP访问的应用,必须添加成L3VPN资源。如果应用本身通过WEB应用就能访问到,则可以直接接入SSL VPN访问,无需再建立PPTP连接去访问。
个别地区电信运营商(如北京联通)会封锁3G网络的PPTP,如部署好后发现通过wifi可以接入,但通过3G不行,很可能就是运营商封锁。
PPTP连接不成功时,需确认从本端网络到SSL设备之间的设备 ,是否支持PPTP穿透。例如TP-link 支持32个PPTP穿透, D-Link 不支持PPTP穿透, Tenda 支持PPTP穿透。
建议使用Chrome浏览器访问!
