甲方有些业务系统出于安全需要,会绑定登录的IP地址只允许总公司的IP访问。这种情况下,分公司如果想要访问该业务系统,也必须走总公司的宽带才可以。在如何实现分公司访问指定地址的时候走总部流量一文中,我们介绍了通过PPTP来实现分公司走总公司线路的解决方案。本文中,我将介绍Openvpn的实现方案,openvpn不需要GRE协议,穿透性和安全性都比PPTP要强大。以下是具体的配置步骤:
1. 服务端的配置
在总部的WSG上面,需要开启OpenVPN服务端,选择用户名认证,推送路由里面既要推送总部的内网网段,也要推送甲方系统的IP地址。如下图:
在“账号配置”中添加本地账号,并且勾选VPN权限。
在“OpenVPN服务端”的客户端网段配置中,需要配置该客户端用户名对应的客户端内网网段。
2. 客户端的配置
在分部的WSG网关上,需要开启“Openvpn客户端”模块,先导入服务端的ca证书(可以在总部WSG的openvpn服务端的“CA证书”中下载)
添加服务端,配置服务端IP地址、端口、用户名密码等信息。
保存并且应用新配置后,就可以连上了。我们可以通过“命令行”中的“route”命令查看路由表,检查服务端的推送路由有没有生效。成功拨入后,路由表可以看到服务端推送的路由规则。
3. 服务端的防火墙规则
Openvpn客户端拨入后,适用于服务端的“外网-转发”方向的防火墙规则。要允许对端的IP地址访问外网甲方系统,还需要通过防火墙规则来允许。如下图:
经过上述配置后,分部的电脑无需任何设置,开机即可通过总部线路访问绑定的甲方系统。
注意事项:
1). openvpn不但实现了访问甲方系统,而且实现了两地组网。如果之前还有组网的ipsec隧道,需要删除掉,否则会导致openvpn不能互通。
2). 防火墙策略中会根据配置自动生成“Allow-OpenVPN-Inbound”,这条策略是允许openvpn拨入的,请不要修改这条策略。
