03
2021
10
12:08:46

USG6650(V500R001C60SPC500)SSL VPN客户端登录后,可以上外网

问题描述

USG6650(V500R001C60SPC500)配置SSL VPN 网络扩展模式后,发现客户登录后可以通过本地网卡访问外网

  network-extension mode manual
  network-extension manual-route 10.10.0.0 255.255.255.0
  network-extension manual-route 10.10.1.0 255.255.255.0
  network-extension manual-route 10.0.0.0 255.255.255.0
  network-extension manual-route 172.31.255.252 255.255.255.252

处理过程

将网络扩展模式设置为全路由模式,无论是访问什么资源,数据一概被虚拟网卡截获,转发给虚拟网关处理。通过防火墙策略做相应的访问限制

network-extension mode full

根因

路由模式决定了客户端发送报文的路由。网络扩展功能支持三种路由模式:分离模式(Split Tunnel),全路由模式(Full Tunnel),手动模式(Manual Tunnel)。

分离模式下,客户端发送给内网的数据,经系统路由表识别以后,交由虚拟网卡转发,其源IP赋值为虚拟IP。而访问本地子网的数据则交由真实网卡转发,源IP赋值为真实的IP。由此,网络扩展只转发前往内网的数据。同时,分离模式也把不是访问本地子网资源的其他数据经过虚拟网卡转发。

全路由模式下,无论是访问什么资源,数据一概被虚拟网卡截获,转发给虚拟网关处理。

手动模式下,在FW端,管理员必须手动配置内网网段静态路由(参见network-extension manual-route命令进行配置),然后在客户端识别前往该网段的数据,交由虚拟网卡转发。由于FW上手动只增加了下列路由,导致用户访问其他网络时,由本地网卡转发。未达到客户登录VPN后禁止访问外网的需求

  network-extension manual-route 10.10.0.0 255.255.255.0
  network-extension manual-route 10.10.1.0 255.255.255.0
  network-extension manual-route 10.0.0.0 255.255.255.0
  network-extension manual-route 172.31.255.252 255.255.255.252


解决方案

1:将网络扩展模式设置为全路由模式,无论是访问什么资源,数据一概被虚拟网卡截获,转发给虚拟网关处理。通过防火墙策略做相应的访问限制

 network-extension mode full

2:手动模式下,在FW端,管理员手动配置全0网段静态路由,然后在客户端识别前往任意网段的数据,交由虚拟网卡转发。通过防火墙策略做相应的访问限制

network-extension manual-route 0.0.0.0 0.0.0.0

通过上述两条实现客户登录VPN后禁止访问外网的需求




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/1911.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:技术文章 | 浏览:2100 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: