更新时间:2022-01-10
案例需求
某客户希望通过 iPhone、iPad、Android 手机使用系统自带的浏览器接入 SSL VPN 访问内网资源,直接通过手机进行移动办公。
由于客户内部的 BBS 系统是用 JSP 所写的,系统交互复杂,并且脚本、控件调用极多,不适合使用 WEB 应用,因此只能使用 L3VPN。
配置步骤
SSL 设备的配置:
第一步:进入『系统设置』→『SSL VPN 选项』→『系统选项』→『接入选项』页面, 勾选“启用 PPTP 接入服务”,界面如下图所示:
第二步:进入『SSL VPN 设置』→『策略组管理』页面,新增策略组,勾选“允许使用 PPTP/L2TP 方式接入”,界面如下图所示:
第三步:进入『SSL VPN 设置』→『用户管理』页面,在需要 PPTP 接入的用户和用户组属性中关联第 2 步设置的组策略。
第四步:进入『SSL VPN 设置』→『资源管理』页面,新建 L3VPN 资源,添加需要通过 PPTP 访问的资源。
第五步:进入『SSL VPN 设置』→『角色授权』页面,新建角色,关联用户/用户组和资源。
PPTP 客户端接入配置:
此处以用户通过 iphone 配置 PPTP 访问资源举例:
通过手机自带的浏览器登录 SSL VPN,显示如下页面:
注意:带 P 标志的资源是 L3VPN 资源,必须通过 PPTP 接入才能访问。
点击“通过 PPTP 方式接入”,出现接入帮助,安装描述文件到手机。
设置 PPTP VPN 登录,返回 iphone 主页面,打开“设置”:
连接成功后,可以看到“VPN”选项的开关变成了蓝色,右上角出现“VPN”的小图标。然后就可以通过浏览器或者应用程序访问内网应用了。
需要退出 PPTP VPN 时,请关闭“VPN”选项的开关。后续可直接连接 PPTP VPN访问资源。
记住 PPTP 登录的密码。设置页面打开“通用”-“网络”-“VPN”,点击下图蓝色的箭头:
在密码项中填入密码后点击“存储”,以后打开 VPN 连接后无需再输入密码。至此,完成了 PPTP 的整个配置,可以使用手机访问公司内部的 BBS 系统了。
注意:
1、SSL 设备单臂模式部署时,需要(1)前端设备除了映射 SSL 用户接入的 TCP 80和 443 端口外,还需要映射 TCP 1723 端口;(2)前端设备必须支持 PPTP 应用穿透,即需要前端设备放通协议号 47。
2、通过 PPTP 访问的应用,必须添加成 L3VPN 资源。如果应用本身通过 WEB 应用就能访问到,则可以直接接入 SSL VPN 访问,无需再建立 PPTP 连接去访问。
3、个别地区电信运营商(如北京联通)会封锁 3G 网络的 PPTP,如部署好后发现通过 wifi 可以接入,但通过 3G 不行,很可能就是运营商封锁。
4、PPTP 连接不成功时,需确认从本端网络到 SSL 设备之间的设备 ,是否支持 PPTP穿透。例如 TP-link 支持 32 个 PPTP 穿透, D-Link 不支持 PPTP 穿透, Tenda 支持PPTP 穿透。