С двумя проблемами обычно обращаются клиенты, когда берутся за конфигурирование SSL VPN на фаерволах USG Huawei (SSL VPN дает защищенный доступ к внутренним ресурсам фаервола через Интернет). Первая проблема: не проходит аутентификация при попытки залогиниться через web-браузер смартфона. Вторая: не удается ограничить доступ для определенных пользователей (полисер не распознает username). Это не вина клиентов, или программых недоработок продукта, скорее это недостаточная ясность документации.
Ответ на первый вопрос состоит в том, что SSL VPN не работает через web-браузеры смартфонов. Такая функция не поддерживается, не тестировалась и никогда не разрабатывалась (уточняли непосредственно в Huawei TAC). Правда в том, что пользователю дается ложная надежда, когда web-страница фаервола таки открывается, приглашает ввести логин/пароль, а потом ничего - Authentication failed. Есть длинный список программых ограничений, но про мобильные браузеры в нем не упомянуто. Даже напротив, в овервью SSL VPN есть строчка про мобильное устройства, но не уточняется, что речь идет именно о доступе через Secoclient приложение.
Второй вопрос. Клиент сконфигурировал SSL VPN, но доступ есть у всех пользователей ко всем внутренним ресурсам. SSL VPN строится до паблик-интерфейса фаервола, оригинальный пакет инкапсулируется в этот тоннель. Если аутентификация проходит успешно, то пакет декапсулируется и в работу вступают локальные полисеры фаервола, устаналивается TCP сессия. Если пользователь конфигурирует полисер и разрешает в нем доступ только определенным пользователям, то доступ пропадает у всех пользователей. И происходит это потому, что фаервол не распознает username после декапсуляции пакета, а значит отбрасывает все пакеты, которые не соответствуют условиям полисера. Причина этого в том, что настройщик пропускает конфигурацию полисера аутентификации (Authentication Policy). Она просто теряется в сложном и запутанном перечне сценариев документации: в какие-то сценарии ее включили, а в остальные - забыли.
В полисере аутентификации нужно указать разрешенные для доступа локальные адреса.
auth-policy
rule name auth_policy_service
source-address range 10.2.0.2 10.2.0.15 (permit локальные адреса для доступа через SSL VPN)
action exempt-auth
После этого полисеры безопасности начнут отрабатывать корректно. Настраиваются два полисера: один для доступа по схеме Интернет-Фаервол, другой по схеме: Фаервол - Локальная сеть.
security-policy
rule name Интернет-Фаервол
source-zone untrust
destination-zone local
destination-address паблик Фаервола
user пользователь или группа пользователей
service https
action permit
rule name Фаервол - Локальная сеть
source-zone untrust
destination-zone trust
source-address 172.16.1.0 mask 255.255.255.0 (пул адресов для SSL VPN клиентов)
destination-address 10.2.0.0 mask 255.255.255.0
user пользователь или группа пользователей
action permit
Source-address 172.16.1.0 mask 255.255.255.0 (пул адресов для SSL VPN клиентов) эти адреса указываются в настройках Network Extension. После аутентификации и декапсуляции, один из адресов этого пула назначается удаленному клиенту (инициатору соединения), другой выступает в качестве шлюза фаервола для коммуникации между клиентом и локальной подсетью (10.2.0.0/24).
Удачи на стройке.
Детали и скрины о том как Не удается подключиться к SSL VPN через мобильный браузер.
Разбор кейса Source user не отображается при установлении SSL VPN тоннеля (USG6655E)
