访问远程VPN接入故障巧解决
网友提问:
本人是企业的一名网络管理员,企业规模比较大,在国内多个省市都有分支机构,企业的性质属于金融业,因此很多内网应用与服务都需要适当的保密。在实际工作中我们通过VPN设备实现将远程分支机构连接到内网的功能,通过VPN设备完成内网接入服务。不过在实际接入中却出现了在远程计算机VPN客户端无法顺利连接到VPN设备并接入内网。不管是使用默认的admin帐户还是自己重新建立的员工帐户都无法连接。不知道这个原因是由什么造成的,希望专家可以帮助我解决此难题,本人使用的产品设备是Biguard公司的VPN安全设备S10。
解答:
一般来说要想顺利的接入VPN安全设备,首先需要针对VPN安全设备特别是相应端口的IP地址进行配置,其次要建立相应的具备VPN远程拨号接入的帐号,同时还要给予该帐户一定的内网应用权限。
如果在连接VPN安全设备出现超时或者网络中断等问题故障多来自于VPN相应端口IP地址等信息配置错误,如果提示帐户权限不足或者连接后无法使用内网资源,那么问题就出现在帐户权限分配和权限指派上。
根据这位读者描述在访问远程VPN安全设备并输入相应具备接入权限帐户信息后连接却出现——“login failed! you have no permission to use standalone network extender”,这个错误提示的意思是该用户没有权限使用远程拨号接入客户端程序。(如图1)
因此我们就应该到VPN安全设备中寻找该帐户对应的权限是否设置合理,经过查询才发现原来之前在建立softer帐户时直接选择了“启动组设置”,该选项的意思就是该帐户的所有权限都继承上级用户组,帐户属于哪个组就严格按照该组的权限在VPN接入后进行分配。由于该用户只建立了帐户而没有给予其所在组分配相应的访问权限,所以在远程连接时就会出现上述错误提示。
要想顺利解决此问题可以从两个方面实现,其一是编辑帐户信息将“组设置”选择为“关闭”,这样每个帐户都将按照自己的权限进行分配,而不再继承用户组的设置信息。关闭组设置后我们就可以针对softer帐户使用的网上邻居,network exterder服务,transport extender服务等等应用做具体设置了,从而解决上述问题保证softer帐户顺利连接VPN安全设备并通过帐户验证。(如图2)
当然我们直接针对softer所在组进行权限划分也可以实现上述功能,具体如何操作就要看各位读者的实际情况了。
除了帐户权限问题外有时我们通过默认管理员帐户连接远程VPN安全设备也会出现“LOGIN error access denied:not allowed to login from WAN”的提示,这是因为默认情况下出于VPN设备的安全考虑都没有开启WAN接口的管理员登录权限,自然管理员帐户无法通过远程直接连接VPN设备。同样有两种方法解决此难题。(如图3)
第一是先通过其他帐户连接VPN设备接入内容,然后再在内网中通过HTTP或其他管理工具连接VPN设备,达到进入管理界面设置必要参数的目的。而另外一种方法则是事先在VPN设备中开启远程接入与管理权限,一般该设置在“高级设置”->“远程访问”下,我们将默认的关闭远程配置修改成“启动远程入口及远程配置”,这样我们就可以通过admin帐户在远程计算机直接登录VPN设备了。当然为了安全我们可以指定具备远程连接权限的地址信息,由于篇幅关系这方面的内容与操作方法请各位感兴趣的读者自行研究。(如图4)
只有设置了合理的权限,我们才能够顺利的在远程客户机上通过普通帐户或管理帐户连接VPN安全设备进行相应的内网接入与权限管理工作。