我们前面介绍了如何白嫖国内某公有云的云上资源(粉丝福利:白嫖天翼云免费的VPN网关及1000块钱),有不少小伙伴问能不能拿来做一些特殊用途,当然没问题。
今天给大家分享一个方案,以在上海7资源池部署山石VPN网关,在香港1资源池部署代理为例,演示部署一条10兆SD-WAN的相关操作。
1、创建香港云主机
在香港1云主机上部署vCPE,用作跨境访问境外站点的代理。主机配置2核CPU、4GB内存、40GB系统硬盘,15Mbps公网带宽,镜像选择【公共镜像】→【Linux】→【CentOS7.6】。
开通完成之后,使用账号测试登录情况,确认系统版本是否为CentOS 7.6;并记录云主机登录方式和内网网段反馈给装维人员用于部署vCPE。
2、配置上海共享带宽及弹性公网IP
购买一条共享带宽,带宽15 Mbps。
申请公网IP地址,付费方式选择【按量付费】,带宽类型选择【共享带宽】,并选择到刚才创建的共享带宽。
3、创建上海VPC子网
注意:需要检查是否存在默认VPC和默认子网网段均为24位掩码的情况,如果是,需要提工单解决。
新建一个192.168.11.0/24的子网1绑定VPN网关公网接口,以提供服务。
再新建一个192.168.12.0/24的子网2,供VPN网关和vCPE主机进行互通,并提供访问互联网的能力。
4、配置上海vCPE云主机
在上海7开通2台云主机,其中一台用于部署vCPE云主机。主机配置为:2核CPU、4 GB内存、40 GB系统磁盘,镜像选择【公共镜像】→【Linux】→【CentOS7.6】。
网络配置中,虚拟私有云及网卡选择到新建的子网2,不使用弹性公网IP。
开通完成之后,查看主机状态,记录主机IP地址。
记录vCPE云主机登录方式,反馈给装维人员用于部署vCPE。
5、配置上海VPN网关
另一台云主机用于部署VPN网关,主机配置为:2核CPU、4 GB内存、40 GB系统磁盘,镜像选择【安全产品镜像】→【云下一代防火墙】。
网络配置中,主网卡选择到新建的子网1,扩展网卡选择到新建的子网2,不使用弹性公网IP。
开通完成之后,查看主机状态,记录主机IP地址。
在主机安全组中放行TCP 10443端口,用于防火墙的HTTPS页面登录。
放行TCP 4433端口和UDP 4433端口,用于建立SSL VPN的隧道连接;放行TCP 2212端口,用于登录防火墙命令行。
6、创建上海NAT网关
在上海7创建一个NAT网关,使vCPE主机通过共享带宽访问互联网,避免公网IP直连的安全风险,注意绑定正确的VPC。
开通成功之后,点击名称进入NAT网关配置。
点击【添加SNAT规则】,确认子网信息和弹性公网IP信息。
7、给VPN网关添加第二块网卡
给防火墙添加第二块网卡,子网选择新建的VPC子网,用于和vCPE通信。
8、登录VPN网关网管
登录防火墙管理页面,默认登录地址为:https://弹性IP:10443,默认登录账号密码为ecfwadmin/ecfw189@#! 。
登录之后会要求修改默认密码。新密码需要满足密码策略要求:最小长度为8,最大长度为31。包含至少1个大写字母,1个小写字母,1个数字,1个特殊字符。
密码修改完成之后重新登录,确认设备正常。
9、配置VPN网关的网卡和路由
在【网络】→【接口】下面,可以看到网卡信息,其中ethernet0/0是绑定公网IP地址的网卡,ethernet0/1是和vCPE通信的网卡。
修改ethernet0/1接口配置,绑定到【三层安全域-trust】,关闭【HA同步】,并配置分配的IP地址信息。
在接口的【高级配置】下面,【逆向路由】设置为【关闭】,这样,用户的VPN访问流量就可以从入接口原路返回给网关,而不是vCPE。
在【系统→诊断工具→测试工具】下,Ping测试到vCPE主机的内网IP地址的可达性。
确认可达之后,在【网络→路由→目的路由】中添加一条默认路由,下一跳指向vCPE的互联地址。
新建一个隧道接口,作为SSL VPN的网关。
10、配置VPN网关的SSL VPN
防火墙导入授权成功之后,进入【网络→VPN→SSL VPN】页面,点击【新建】,开始配置SSL VPN。
【名称/接入用户】配置中,配置一个VPN名称,接入用户AAA服务器选择local。
【接入接口/隧道接口】配置中,出接口选择绑定了公网IP地址的Ethernet0/0,服务端口使用4433,隧道接口使用刚才创建的tunnel1,地址池使用新建的地址池。
新建的地址池配置如下:
【隧道路由配置】中,点击【添加默认路由】,当用户拨号成功后,为用户下发默认路由。
【绑定资源】配置留空,不做调整。点击确定,完成配置。
11、配置SSL VPN用户
在【对象→用户→本地用户】中,点击创建,新增用户。
配置用户的名称和密码信息,视情况配置【账户到期日】,如果配置了账户到期日,则在账户到期日之后。账户将变成锁定状态,无法登录。
12、登录SSL VPN
请下载VPN客户端进行登录。以Windows版客户端为例,登录页面如下:
其中【服务器】为VPN网关的公网IP地址,本例中为49.65.127.67;【端口】为SSL VPN的服务端口,本例中为4433;【用户名】和【密码】对应用于登录SSL VPN的本地用户。
配置完成之后点击登录即可,登录成功之后可以从客户端中查看连接状态。
从VPN网关中可以看到用户的登录状态,并且可以将用户踢下线。
这不就用上了吗?
**推荐阅读***
