【防火墙】PPTP VPN PC到站点配置方法

应用介绍

VPN功能的实用性毋庸置疑,出差员工安全访问公司内网邮件服务器和文件服务器等需求都可以通过VPN来实现。与路由器配置方法的不同之处在于防火墙不仅需要进行VPN相关配置,还需要开放VPN相关的安全策略。

防火墙作VPN服务器,保障出差员工安全访问公司内网邮件服务器和文件服务器,拓扑图如下所示。


设置方法

防火墙在使用设备本身的某个功能时,首先要开启对应功能,其次是考虑下该功能要实现所需要开放的服务或者权限,以VPN为例,在设置好VPN以后需要开放的服务或权限包括:允许外网设备与防火墙建立VPN、允许外网访问内网服务器、允许外网通过防火墙进行代理上网等,具体配置方法如下文所示。

1. “网络”-“PPTP”,设置开启对应接口的PPTP服务器。


2. “对象”-“IP地址池”,设置VPN用户的待分配的地址池,该地址池应与防火墙的各接口IP不在同一网段。


3. “网络”-“VPN用户管理”,设置相应的VPN用户名、密码,设置用于VPN通讯的虚拟本地地址,选择2中设置的IP地址池,设置DNS服务器,组网模式选择PC到站点,选择合适的最大会话数(每个用户允许接入的最大客户端数量)。


4. “对象”-“服务”-“服务组”,设置VPN服务组并绑定已内置的VPN相关服务,此处为了方便其他类型VPN配置,绑定了三类VPN相关的服务。


5. “策略”-“安全策略”,点击新增,设置源安全区域为“Untrust”,目的安全区域为“Local”,源地址选择所有,目的地址可以设置为1中开启VPN的接口的IP(可以在“对象”-“地址”中添加对应地址的地址组),倘若该地址非固定IP,目的地址可选择为所有地址“IPGROUP_ANY”,服务组为4中设置的“VPN”,动作为允许。


6. “对象”-“地址”-“地址/地址组”,添加2中所设地址池对应的地址段到“VPN”地址组。


7. 如果要允许VPN用户访问内网服务器需要开放相应的安全策略:“策略”-“安全策略”,点击新增,安全区域为从“Untrust”到“DMZ”,源地址为6中设置的“VPN”,目的地址为服务器所在的“DMZ”(设置方法与6相同),动作为允许。


8. 如果出差员工需要通过防火墙代理上网,则还需要添加相应的安全策略:“策略”-“安全策略”,点击新增,增加从“Untrust”到“Untrust”,源地址为的“VPN”,目的地址为所有地址“IPGROUP_ANY”,动作为允许。


备注:实现代理上网需要确保防火墙的NAPT规则源地址中包含VPN地址池所在网段。

9. 服务器端设置完成后,员工用电脑或手机设置VPN拨号,填入服务器WAN口地址,填写预设好的用户名密码,即可实现对公司内网资源的安全访问。服务器端的隧道信息列表中也可看到对应的条目。


该需求同样可以通过L2TP VPN实现,其配置方法与PPTP VPN类似,区别在于VPN自身的相关设置(如前文中的步骤13)应选择L2TP相关配置 ,其它的对象和安全策略的相关设置基本一致。