华为USG配置SSLVPN|江阴雨辰互联

2023年6月25日发(作者：)

华为USG配置SSL VPN

说明：本文将在USG220C平台创建SSL VPN使用LDAP故认证服务器，做网络扩展。如下 1-4 点是个人的理解，不认同可跳过。本文使用网页为主要配置手段， CLI

辅助，网页配置之后， CLI 是可以查看配置信息的。

前提

a） US聚口配置完毕，外部IP可以跟接口公网IP互通；

b） SSLVPN连接成功后，USG各作为外部IP的“代理”，所以必须确保所部

署的服务器都必须跟 USG连通。（WEB弋理、端口映射必须跟被代理/映

射的服务器连通，网络拓展必须跟被访问的网络互通）。

2. VPN类型

a） WE代理/文件共享

USG各后端服务以 WEB勺形式呈现给SSLVPN用户，通俗理解就是转码；

b）端口映射

USG各后端服务跟SSLVPN互通，除了 NAT等必须的转换之外，USG不做

其他的内容改变；

c）网络拓展

USG不是严格意义上的代理，只是用户地址段的直连路由器，用户能访问策略允许的任何内网资源。

3. VPN业务流程

a）客户端跟USG之间的SSL连接

这一步还未涉及到用户信息验证，使用华为的SVN客户端一般都没问题。

b） USG各用户通过SSL上传的认证信息做验证（本地、 LDAP RADIUS

建议先做本地的VPND认证，成功之后再考虑LDAP RADIUS认证，有序排错。

c）用户访问指定资源

这一步主要是涉及用户策略和 USG到后台的互联互通问题。

注意事项

a） USG的网页兼容性不好，可能会给配置过程造成困扰；

b） IE11、火狐、Chrome均有问题，360浏览器没问题（我是做广告的吗？）。主要是在填写 IP 地址，搜索外部服务器组的时候。

c）网页版的配置，有些在CLI找不到，比如VPNDB外部服务器组。（能力有限？）

d）创建VPN虚拟网关的时候，USG^默认创建AAA组和LDAP/RADIUffi.（烦！）

e）虚拟网关的认证域是不能指定的，名字必须是网关名字 .do m，这个它会

自己生成。但是这个域下面的认证配置是可以修改的

配置LDAP服务器

使用微软的 WIN 2008 SERVER R的AD创建的域，并在该域下面创建一级OU名字“公司”；二级0U名字“测试部”，测试部门下面放的用户是test ;二级0U名字“管理员”，用户admin。所以，使用LDAP浏览器

（Xplore， LDAP浏览器）可以看到test的DN是” cn=test,ou=测试部,ou= 公司,dc=test,dc=com ”；

admin 的 DN是” cn=admin,ou=管理员，ou=公司,dc=test,dc=com ”。

Admin是用来对用户的信息做认证和同步的，test是VPN用户。

6.配置USG

a）新建虚拟网关

VPN SSL VPN 虚拟网关管理，新建；

填写网关名字，类型独占，IP地址，域名，最大并发用户数；关于类型是共享或者独占、网关域名究竟是什么用，我没查到相关资料。

IFW

曲闫耘锻

HHTF寺诃

SuulHMt

■RL就*転鹹胡鹏贰下下哎

EH w

；Dn:：an cc1-!® 占岂］」wti xompirKCDii,横虽* coriKr-

（3日周K-「番词F詔

100

100 —

IM叽」（跚爾:.肖茴舷可层制卞:

卜1悻4 （卿EBI - 1C-24.当示呛可三瓷预-谢|

warui

b）创建完成之后，可以在虚拟网关列表看到当前所拥有的网关列表。 USG

支持多网关并发，并且互相之间不影响。在创建虚拟网关之后，系统默认自动创建了 LDAP RADIUS AAA的认证、授权模板。（视需要，我们可以使用自己配置的信息，删除自动生成的配置。）如下图，我们可以配置的内容：

i. 网络配置（必选），包括DNS信息。这是下发给SSL VPN客户端的；

ii. SSL配置（可选），这是配置客户端跟USG*商SSL连接的，建议按

最严格配置，视懒惰情况勾选“生命周期无限制”

iii. 认证授权配置（必选），这是配置SSL连接建立后，USG如何处理客

户端抛上来的用户认证信息。建议先用本地认证（ VPNDB做测试，

再做成LDAP或者RADIUS 一步到位可能不是好事，特别是在配置不成功需要排错的情况下。

iv. 策略配置（必选），默认是全部允许的。

vi.

VPNDBE置（可选），这是本地用户信息配置，在上述认证授权配置选择“ VPND”时候必须配置。

外部组配置（可选），这是将认证服务器上面的组信息同步到本地，在上述认证授权配置选择“ LDAP“或者” RADIUS“时必选。（有说法是下一代防火墙是可以不配置的，没测试，没发言权）

WEB弋理、文件共享、端口转发、网络扩展（可选），这是对应USG

提供的SSL VPN功能的，视需要开启。本文介绍网络扩展。

日志管理、在线监控、虚拟网关维护（可选），这是监控和排错用的。

vii.

viii.

訓朗关列表

D&底拗网茨列表

网tS配置＞

卜 O SSLffig 卜。认眶驭KS o隼略配置

o VPNDB5&g

o占卜部汨IE冒

o WeWtS 卜o文洋享

o捕□轄爰

卜o网融懐

o曰志育埋

O在钱昨

O曲炯关维护

c）通过上述说明，我们需要做的配置包括：网络配置， SSL配置，认证授

权配置，策略配置，外部组配置，网络扩展。 VPNDB配置不介绍，就是

新建用户而已。

网络配置，填写内网DNS言息即可。用户VPN回来经常要使用内部资源，所以使用内外DNS

ii.

SSL配置

使用最高算法的SSL勾选生命周期无限制（懒…，或者叫用户体验吧！）。这部分在官方文档有比较好的说明。

SSI RB

SSL^Jg

ssJfe4：

7 S3L3 0 * TLS 1 L '.? TLS10

1< 256-t it AESen cryotigr, Ai1h R3AardE EHA MAC

□ 158-bit Tripls DE3 enovotimiwtti R3A ard

a SHA MAC

I-! 128-M RC4 4ns)ption Eh RS^anda

SHAWMC

Eli28-titRCi fn:^pticn

wtn

RS^and an

ND& MAC

□

128 tit

Ahscnci^otior Aim RSAarda

SHAMAO

5&-bit DES encryption will and & SHA MAC

飼関黑如」琼514轴

分轉 i-r44Q,

iii.

认证授权配置认证方式使用LDAP然后在“认证授权服务器“配置栏，对 LDAP

配置。官方文档有比较好的说明。本人是CLI里面删除了自动生成的LDAP和AAA模板，使用自己早前配置好的模板。需要提醒的是，做完LDAP等外部服务器配置后，需要测试一下连接是否成功。方法：CLI 进入 LDAP模板，输入 Idap-server test user namepsw, 得到” Server

detection succeeded. “；网页版本的，在 OS是 V300R001C10SPC5这个版本，测试检查有 bug,提醒注意一下。

如示例的LDAP服务器配置，这里 BaseDN填写dc=test,dc=com ，用户过滤字段填写sAMAccountNam，组过滤字段填写ou，管理员 DN填写

cn=admin,ou=管理员,ou=公司，勾选 “附带 Base DN'。

匚移4空证1*

1 LDAP UW p

1 1 1

*计书认讣掘靱阳窑菊"甘 r芳认就削吉

序号

聞户过貫亍IS

«0过清宇律

BJCO DH

心….dc^r-一 - i~i