问题描述
USG6650(V500R001C60SPC500)配置SSL VPN 网络扩展模式后,发现客户登录后可以通过本地网卡访问外网
network-extension mode manual
network-extension manual-route 10.10.0.0 255.255.255.0
network-extension manual-route 10.10.1.0 255.255.255.0
network-extension manual-route 10.0.0.0 255.255.255.0
network-extension manual-route 172.31.255.252 255.255.255.252
处理过程
将网络扩展模式设置为全路由模式,无论是访问什么资源,数据一概被虚拟网卡截获,转发给虚拟网关处理。通过防火墙策略做相应的访问限制
network-extension mode full
根因
路由模式决定了客户端发送报文的路由。网络扩展功能支持三种路由模式:分离模式(Split Tunnel),全路由模式(Full Tunnel),手动模式(Manual Tunnel)。
分离模式下,客户端发送给内网的数据,经系统路由表识别以后,交由虚拟网卡转发,其源IP赋值为虚拟IP。而访问本地子网的数据则交由真实网卡转发,源IP赋值为真实的IP。由此,网络扩展只转发前往内网的数据。同时,分离模式也把不是访问本地子网资源的其他数据经过虚拟网卡转发。
全路由模式下,无论是访问什么资源,数据一概被虚拟网卡截获,转发给虚拟网关处理。
手动模式下,在FW端,管理员必须手动配置内网网段静态路由(参见network-extension manual-route命令进行配置),然后在客户端识别前往该网段的数据,交由虚拟网卡转发。由于FW上手动只增加了下列路由,导致用户访问其他网络时,由本地网卡转发。未达到客户登录VPN后禁止访问外网的需求
network-extension manual-route 10.10.0.0 255.255.255.0
network-extension manual-route 10.10.1.0 255.255.255.0
network-extension manual-route 10.0.0.0 255.255.255.0
network-extension manual-route 172.31.255.252 255.255.255.252
解决方案
1:将网络扩展模式设置为全路由模式,无论是访问什么资源,数据一概被虚拟网卡截获,转发给虚拟网关处理。通过防火墙策略做相应的访问限制
network-extension mode full
2:手动模式下,在FW端,管理员手动配置全0网段静态路由,然后在客户端识别前往任意网段的数据,交由虚拟网卡转发。通过防火墙策略做相应的访问限制
network-extension manual-route 0.0.0.0 0.0.0.0
通过上述两条实现客户登录VPN后禁止访问外网的需求
您阅读本篇文章共花了: 
支付宝微信扫一扫,打赏作者吧~本文链接:https://kinber.cn/post/1911.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
