sonicwall ssl vpn 配置手册.docx

sonicwall ssl vpn 配置手册.docx

《sonicwall ssl vpn 配置手册.docx》由会员分享，可在线阅读，更多相关《sonicwall ssl vpn 配置手册.docx（10页珍藏版）》请在冰豆网上搜索。

sonicwallsslvpn配置手册

SSLVPN设置

SonicWALLNSA产品具有SSLVPN拨号功能，可以用SSLVPN客户端（Nextender）和防火墙建立SSLVPN连接，通过SSLVPN隧道访问到公司或组织内部网络。

SSLVPN只在NSA设备的5.2.0以后的系统中可以使用，如果你的系统版本低，需要下载新的系统版本，安装后才可以使用。

SSLVPN在防火墙中也是使用license进行控制的，所以在使用SSLVPN配置之前，请检查一下系统是否带有SSLVPN的license。

WAN接口的General界面，Management,UserLogin,都在HTTPS方框打勾。

选择SSLVPN->ClientSetting.

在Interface下拉框中，使用X0（LAN口）作为SSLVPN服务口，同时在WAN安全区域允许SSLVPN接入，点WAN是红色的按钮变成绿色。

需要注意到是，Nextender的地址范围要和内网接口（本例是X0LAN）的地址范围一致。

这个地址范围不要和其它机器冲突。

（你可以启用防火墙的另外一个没有使用的端口做SSLVPN服务接口，那么你在Interface界面选择那个接口，IP地址池范围就是那个接口网段的地址）

NetExtenderClientSettings是配置客户端的细致的设置。

CreateClientConnectionProfile:

可以使NetExtenderClient客户端软件自动保存成功连接的配置，下次连接，直接选择这个连接的参数，不用手工再次输入了。

点击SSLVPN->ClientRoutes菜单下，把需要访问的服务器网段地址或服务器地址添加进去。

ClientRoute界面把允许SSLVPN用户访问的主机地址和网段加入即可。

防火墙自动创建SSLVPN到各个安全区域的规则，本例是SSLVPN用户访问LANPrimarySubnet,就是LAN口的整个网段，自动生成的防火墙规则在Firewall->AccessRules,SSLVPN->LAN界面可以看到。

建立一个用户账户，让用户使用这个账户进行VPN拨号。

点击Users->localusers

点击AddUser按钮

在setting标签页中，输入用户名称，密码，

Group标签页中，需要把用户添加到SSLVPNServices组中，不然会无法进行拨号

VPNAccess标签页保持空白，然后点击OK完成用户设置。

完成后结果如下。

客户端软件配置，（Nextender客户端软件可以到方式登录SSLVPN设备，直接在登录入口界面里点NetExtender图标安装软件。

启动后，软件弹出一个对话框，分别输入防火墙WAN口地址，用户名，密码，和Domain。

注意：

Domain名称必须使用LocalDomain（区分大小写不然系统会不认）

注意SSLVPN服务器地址后面的端口号：

4433,因为本防火墙的WAN口的HTTPS远程管理ideas端口被修改成了4433，否则默认端口443，这个SSLVPN服务器地址后无需输入端口号。

点击connect,经过一段时间，显示连接成功

如果要允许SSLVPN用户使用WEB浏览器登录，那么WAN接口的Management“HTTPS”，UserLogin中的“HTTPS”必须选中.如果WAN的HTTPS远程管理没有允许，用户根本不能通过WEB方式到达用户认证界面。

如果HTTPS远程管理允许了，但是UserLogin没有允许，SSLVPN用户通过浏览器可以到达SSLVPN用户认证界面，但是登录会失败，说没有权限。

如果用户只采用NetExtender客户端软件连接VPN设备，“HTTPS”Management不是必须的，但是UserLogin中的“HTTPS”必须选中。

简而言之：

Ø使用SSLVPN功能，WAN接口的UserLogin中的“HTTPS”必须选中，不论WEB方式登录，还是NetExtender独立客户端软件方式登陆。

ØWEB方式登录，HTTPS远程管理必须打开

使用WEB方式登录

https:

//123.127.134.147:

4433,点ClickhereforSSLVPNlogin

如果WAN接口的UserLogin的HTTPS没有允许，SSLVPN不允许登录SSLVPN入口界面

UserLogin允许之后，SSLVPN用户登录成功。

点NetExtender图标，自动安装NetExtender软件。

如果你使用Vista浏览器在保护模式，你必须SSLVPN的URL添加到浏览器的可信站点里，才能安装软件。

修改NetExtender的端口号和防火墙HTTPS远程管理的端口号一致。

System->Administration界面可以修改防火墙远程管理的HTTPS端口号。

默认443端口，NetExtender不需要输入端口号，只需要输入IP地址即可。

SSLVPN的配置全部完成。