华为USG配置SSL-VPN

华为USG配置SSL VPN

说明：本文将在USG2200平台创建SSL VPN，使用LDAP做认证服务器，做网络扩展。如下1-4点是个人的理解，不认同可跳过。本文使用网页为主要配置手段，CLI辅助，网页配置之后，CLI是可以查看配置信息的。

1.前提

a)USG接口配置完毕，外部IP可以跟接口公网IP互通；

b)SSL VPN连接成功后，USG将作为外部IP的“代理”，所以必须确保所部

署的服务器都必须跟USG连通。〔WEB代理、端口映射必须跟被代理/映

射的服务器连通，网络拓展必须跟被访问的网络互通〕。

2.VPN类型

a)WEB代理/文件共享

USG将后端服务以WEB的形式呈现给SSL VPN用户，通俗理解就是转码；

b)端口映射

USG将后端服务跟SSL VPN互通，除了NAT等必须的转换之外，USG不做

其他的内容改变；

c)网络拓展

USG不是严格意义上的代理，只是用户地址段的直连路由器，用户能访

问策略允许的任何内网资源。

3.VPN业务流程

a)客户端跟USG之间的SSL连接

这一步还未涉及到用户信息验证，使用华为的SVN客户端一般都没问题。

b)USG将用户通过SSL上传的认证信息做验证〔本地、LDAP、RADIUS〕

建议先做本地的VPNDB认证，成功之后再考虑LDAP、RADIUS认证，有序

排错。

c)用户访问指定资源

这一步主要是涉及用户策略和USG到后台的互联互通问题。

4.注意事项

a)USG的网页兼容性不好，可能会给配置过程造成困扰；

b)IE11、火狐、Chrome均有问题，360浏览器没问题〔我是做广告的吗？〕。

主要是在填写IP地址，搜索外部服务器组的时候。

c)网页版的配置，有些在CLI找不到，比方VPNDB，外部服务器组。〔能力

有限？〕

d)创建VPN虚拟网关的时候，USG会默认创建AAA组和LDAP/RADIUS组

〔烦！〕

e)虚拟网关的认证域是不能指定的，名字必须是网关名字.dom，这个它会

自己生成。但是这个域下面的认证配置是可以修改的

5.配置LDAP服务器

使用微软的WIN 2008 SERVER R2的AD，创建test 的域，并在该域下面创建一级OU，名字“公司”；二级OU，名字“测试部”，测试部门下面放的用户是test；二级OU，名字“管理员”，用户admin。所以，使用LDAP浏览器〔Xplore，LDAP浏览器〕可以看到test的DN是”cn=test,ou=测试部,ou=公司,dc=test,dc=com”；

admin的DN是”cn=admin,ou=管理员,ou=公司,dc=test,dc=com”。

Admin是用来对用户的信息做认证和同步的，test是VPN用户。

6.配置USG

a)新建虚拟网关

VPN → SSL VPN →虚拟网关管理，新建；

填写网关名字，类型独占，IP地址，域名，最大并发用户数；关于类型

是共享或者独占、网关域名究竟是什么用，我没查到相关资料。

b)创建完成之后，可以在虚拟网关列表看到当前所拥有的网关列表。USG支

持多网关并发，并且互相之间不影响。在创建虚拟网关之后，系统默认

自动创建了LDAP，RADIUS，AAA的认证、授权模板。〔视需要，我们可以

使用自己配置的信息，删除自动生成的配置。〕如下列图，我们可以配置

的内容：

i.网络配置〔必选〕，包括DNS信息。这是下发给SSL VPN客户端的；

ii.SSL配置〔可选〕，这是配置客户端跟USG协商SSL连接的，建议按最严格配置，视懒惰情况勾选“生命周期无限制”

iii.认证授权配置〔必选〕，这是配置SSL连接建立后，USG如何处理客户端抛上来的用户认证信息。建议先用本地认证〔VPNDB〕做测试，

再做成LDAP或者RADIUS。一步到位可能不是好事，特别是在配置不

成功需要排错的情况下。

iv.策略配置〔必选〕，默认是全部允许的。

v.VPNDB配置〔可选〕，这是本地用户信息配置，在上述认证授权配置选择“VPNDB”时候必须配置。

vi.外部组配置〔可选〕，这是将认证服务器上面的组信息同步到本地，在上述认证授权配置选择“LDAP“或者”RADIUS“时必选。〔有说法

是下一代防火墙是可以不配置的，没测试，没发言权〕vii.WEB代理、文件共享、端口转发、网络扩展〔可选〕，这是对应USG 提供的SSL VPN功能的，视需要开启。本文介绍网络扩展。

viii.日志管理、在线监控、虚拟网关维护〔可选〕，这是监控和排错用的。

c)通过上述说明，我们需要做的配置包括：网络配置，SSL配置，认证授权

配置，策略配置，外部组配置，网络扩展。VPNDB配置不介绍，就是新建用户而已。

i.网络配置，填写内网DNS信息即可。用户VPN回来经常要使用内部

资源，所以使用内外DNS。

ii.SSL配置

使用最高算法的SSL，勾选生命周期无限制〔懒…，或者叫用户体

验吧！〕。这部分在官方文档有比较好的说明。

iii.认证授权配置

认证方式使用LDAP，然后在“认证授权服务器“配置栏，对LDAP

配置。官方文档有比较好的说明。本人是CLI里面删除了自动生成

的LDAP和AAA模板，使用自己早前配置好的模板。需要提醒的是，

做完LDAP等外部服务器配置后，需要测试一下连接是否成功。方

法：CLI进入LDAP模板，输入ldap-server test user name psw，

得到” Server detection succeeded. “；网页版本的，在OS是

V300R001C10SPC500这个版本，测试检查有bug，提醒注意一下。

如例如的LDAP服务器配置，这里BaseDN填写dc=test,dc=com，

用户过滤字段填写sAMAccountName，组过滤字段填写ou，管理员

DN填写cn=admin,ou=管理员,ou=公司，勾选“附带Base DN”。

iv.策略配置

系统默认全部允许。官方文档有比较好的说明。可以通过做目的IP

的方法来限制用户访问。

v.外部组配置

这是把外部服务器组同步到USG上。官方文档在这没特别明白的说

明，而且因为浏览器兼容性问题，导致本人浪费大量时间调试。官