Hinzufügen einer SSL-VPN-Richtlinie für den Remotezugriff
Sie können SSL-VPN-Richtlinien für den Remote-Zugriff konfigurieren, um Benutzern und Gruppen den Zugriff auf die zulässigen Netzwerkressourcen zu ermöglichen. Sie können auch festlegen, dass ihr Internetverkehr die Firewall passiert.
Das Gateway, die Client-Adressen und andere Einstellungen basieren auf Globale SSL-VPN-Einstellungen.
- Gehe zu Remote-Zugriff-VPN > SSL VPN und klicken Sie auf Hinzufügen.
- Klicken Manuell konfigurieren.
- Geben Sie einen Namen ein.
-
Für Richtlinienmitglieder, wählen Sie die vorkonfigurierten Benutzer und Gruppen aus.
Gastbenutzer haben keinen Zugriff auf Remote-Zugriff auf IPsec und SSL-VPNs. Sie können daher keine Gastbenutzer und Gastgruppen hinzufügen.
-
Einschalten Als Standard-Gateway verwenden um den Internetverkehr von Remote-Access-Benutzern durch die Firewall zu senden.
Tipp
Sie müssen auch die zulässigen Netzwerkressourcen auswählen, wenn Remotebenutzer auf diese internen Ressourcen zugreifen sollen.
Notiz
Wenn Sie die Standard-Gateway-Einstellung aktivieren, gelten die Regeln und Schutzrichtlinien der Firewall für den Internetverkehr der Remote-Benutzer. Konfigurieren Sie daher eine Firewall-Regel mit der Quellzone auf VPN und die Zielzone auf Beliebig um Internetverkehr und die zulässigen Ressourcen zuzulassen. Sie müssen außerdem prüfen, ob die standardmäßige IPv4-SNAT-Regel oder eine SNAT-Regel zur Maskierung des ausgehenden Datenverkehrs vorhanden ist. Ist dies nicht der Fall, müssen Sie eine verknüpfte NAT-Regel konfigurieren, um die per SSL VPN geleasten IP-Adressen in eine öffentlich routbare IP-Adresse zu übersetzen. Siehe Überprüfen Sie die SNAT-Regel.
Sie können die Quellnetzwerke auch auf die Systemhosts einstellen ##ALL_SSLVPN_RW Und ##ALL_SSLVPN_RW6.
-
Für Erlaubte NetzwerkressourcenWählen Sie die internen Netzwerke aus, auf die die Remotezugriffsbenutzer der Richtlinie zugreifen sollen.
Sie können auch FQDNs für zulässige IPv4-Netzwerke auswählen. VPN-Protokolle zeigen die aufgelösten IP-Adressen anstelle der FQDNs.
Notiz
Dynamische IP-Adressänderungen für FQDNs werden für SSL-VPN-Tunnel nicht automatisch aktualisiert. Remotebenutzer müssen die Verbindung manuell trennen und wiederherstellen, um auf die zulässige Ressource zuzugreifen.
-
(Optional) Auswählen Inaktive Clients trennen wenn Sie eine bestimmte Zeit festlegen möchten, zu der die Firewall die Verbindung von Clients mit inaktiven Sitzungen trennt.
-
(Optional) Für Globales Timeout außer Kraft setzen, geben Sie die Zeit in Minuten ein.
Notiz
Dieser Timeout-Wert gilt nur, wenn er niedriger ist als der Leerlauf-Peer-Wert in Globale SSL-VPN-EinstellungenWenn Sie einen höheren Wert angeben, gilt der Wert der globalen Einstellungen.
Verkehr zulassen
- Gehe zu Verwaltung > Gerätezugriff.
-
Um Datenverkehr für die Dienste aus bestimmten Zonen zuzulassen, stellen Sie sicher, dass Sie die folgenden Zonen auswählen:
- SSL-VPN: WAN
-
VPN-Portal: LAN, WAN
Benutzer müssen die Konfigurationsdatei vom VPN-Portal herunterladen.
Weitere Ressourcen