甲方有些業務系統出于安全需要,會綁定登錄的IP地址只允許總公司的IP訪問。這種情況下,分公司如果想要訪問該業務系統,也必須走總公司的寬帶才可以。在如何實現分公司訪問指定地址的時候走總部流量一文中,我們介紹了通過PPTP來實現分公司走總公司線路的解決方案。本文中,我將介紹Openvpn的實現方案,openvpn不需要GRE協議,穿透性和安全性都比PPTP要強大。以下是具體的配置步驟:
1. 服務端的配置
在總部的WSG上面,需要開啟OpenVPN服務端,選擇用戶名認證,推送路由里面既要推送總部的內網網段,也要推送甲方系統的IP地址。如下圖:
在“賬號配置”中添加本地賬號,并且勾選VPN權限。
在“OpenVPN服務端”的客戶端網段配置中,需要配置該客戶端用戶名對應的客戶端內網網段。
2. 客戶端的配置
在分部的WSG網關上,需要開啟“Openvpn客戶端”模塊,先導入服務端的ca證書(可以在總部WSG的openvpn服務端的“CA證書”中下載)
添加服務端,配置服務端IP地址、端口、用戶名密碼等信息。
保存并且應用新配置后,就可以連上了。我們可以通過“命令行”中的“route”命令查看路由表,檢查服務端的推送路由有沒有生效。成功撥入后,路由表可以看到服務端推送的路由規則。
3. 服務端的防火墻規則
Openvpn客戶端撥入后,適用于服務端的“外網-轉發”方向的防火墻規則。要允許對端的IP地址訪問外網甲方系統,還需要通過防火墻規則來允許。如下圖:
經過上述配置后,分部的電腦無需任何設置,開機即可通過總部線路訪問綁定的甲方系統。
注意事項:
1). openvpn不但實現了訪問甲方系統,而且實現了兩地組網。如果之前還有組網的ipsec隧道,需要刪除掉,否則會導致openvpn不能互通。
2). 防火墻策略中會根據配置自動生成“Allow-OpenVPN-Inbound”,這條策略是允許openvpn撥入的,請不要修改這條策略。