总部内网有域服务器,某客户希望通过移动终端使用L2TP接入SSL 设备,使用域账号通过认证访问内网资源,通过移动终端办公。
配置步骤如下:
第一步:进入『系统设置』→『SSL VPN选项』→『系统选项』→『接入选项』页面,
勾选“使用L2TP接入服务”和设置L2TP共享密钥,界面如下图所示:
第二步:进入『SSL VPN设置』→『认证设置』页面,在“LDAP认证”后点击设置,新增LDAP服务器,界面如下图所示:
『其他属性』 →『组映射』,新增组映射:
第三步:进入『SSL VPN设置』→『认证设置』页面,在“域单点登录认证”后点击设置,配置把SSL设备加入AD域。配置页面如下图所示:
第四步:进入『SSL VPN设置』→『策略组管理』页面,新增策略组,勾选“允许使用PPTP/L2TP方式接入”,界面如下图所示:
第五步:进入『SSL VPN设置』→『用户管理』页面,在需要L2TP接入的用户和用户组属性中关联第四步设置的组策略。
第六步:进入『SSL VPN设置』→『资源管理』页面,新建L3VPN资源,添加需要通过L2TP访问的资源。
第七步:进入『SSL VPN设置』→『角色授权』页面,新建角色,关联用户/用户组和资源。
此处以用户通过IPhone配置L2TP访问资源举例:
进入『设置』→『通用』→『VPN』页面,点击添加VPN配置,如下图所示:
[描述]:填写VPN连接的名称。
[服务器]:填写SSL设备的公网连接地址。
[账户]:填写接入SSL设备认证的用户名。如果是结合总部内网AD域认证,则填写域用户名。
[密码]:填写接入SSL设备认证的密码。
[密钥]:与SSL设备上设置的L2TP共享密钥一致。
SSL设备单臂模式部署时,需要(1)前端设备除了映射SSL 用户接入的TCP 80和443端口外,还需要映射UDP 500,UDP4500和UDP1701端口;(2)前端设备必须支持L2TP应用穿透。
通过L2TP访问的应用,必须添加成L3VPN资源。如果应用本身通过WEB应用就能访问到,则可以直接接入SSL VPN访问,无需再建立PPTP连接去访问。
个别地区电信运营商(如北京联通)会封锁3G网络的L2TP,如部署好后发现通过wifi可以接入,但通过3G不行,很可能就是运营商封锁。
开启了L2TP接入服务,SSL设备自带的标准IPSec VPN服务将不能使用,SANGFOR VPN功能不受影响。
建议使用Chrome浏览器访问!
