- SSL VPN最大支持多少个账号?路由和虚拟门户?
- 企业微信的WebVPN方案跟miniconnect方案有什么不同?
- SSL VPN全面支持IPv6的时间节点?
- SSL VPN设备是否可以显示从AD域同步过来的账号中的中文名称?
- 微信公众号是否支持SSL VPN登录?
- AC开通IPSec VPN直接与阿里云上的vSSL云组件打通,是可以自动打通是吗,在云组件上需要按AC的数量授权吗?
- SSL VPN对IPv6支持情况?
- VPN可以实现在后台通过命令调整“链路延迟”和“丢包率”来实现模拟广域网环境吗?
- 关于证明产品合法性的实现过程介绍(证书合法性、证书有效性说明)?
- 企业微信使用Web VPN方案需要什么授权?
SSL VPN最大支持多少个账号?路由和虚拟门户?
- 最大支持10000个账号
- 最大支持200条路由
- 最多20个虚拟门户
企业微信的WebVPN方案跟miniconnect方案有什么不同?
WebVPN的方案采用的是Web代理方式,手机端无需安装VPN客户端,同时支持PC版,标准版本不支持,当前在7.6.8版本有定制包,占用SSL授权。
miniconnect是采用L3VPN方案,仅支持手机端,需要安装miniconnect客户端,标准版本不支持,当前在7.6.1和7.6.8版本有定制包,占用EA授权,VPN设备需要有EMM模块。
SSL VPN全面支持IPv6的时间节点?
SSL在M7.6.6R1开始支持IPv6接入访问IPv4资源,不支持发布IPv6资源,且无迭代计划支持。
SSL VPN设备是否可以显示从AD域同步过来的账号中的中文名称?
支持。
微信公众号是否支持SSL VPN登录?
采用WebVPN的方式可以实现在微信公众号内使用VPN访问内网,但目前不支持结合微信认证(微信公众号与企业号不同,默认不需要效验用户身份,如果要做,需要客户的公众号具备绑定用户的功能,VPN可以通过定制实现对接。)
AC开通IPSec VPN直接与阿里云上的vSSL云组件打通,是可以自动打通是吗,在云组件上需要按AC的数量授权吗?
不需要进行授权,在云上购买IPSec VPN模块即可。
SSL VPN对IPv6支持情况?
7.6.6r1版本开始已经支持如下功能:
- 支持IPv6的客户端接入。
- 支持IPv6的浏览器访问IPv4的Web资源。
- 支持IPv6的Windows端访问IPv4的L3VPN资源、TCP资源、远程应用资源。
- 支持双协议栈。
- 支持IPv6下集群、主备。
- 内网发布IPv6 TCP资源(定制包支持,通用定制包,766R1及以上版本支持)。
当前版本目前不支持IPv6的功能(截止7.6.8R2):
-
不支持IPv6多线路选路接入
若配置了IPv6多线路,并开启多线路选路。当客户端输入IPv6地址80端口时,服务端不下发选路,使用客户端请求的IPv6地址的443端口线路下发。 -
不支持IPv6的Webagent接入
如果开启了Webagent接入,客户端为IPv6环境时,无法接入。IPv4环境正常接入。此场景不支持,需注意,如果客户侧存在这个场景,需提前沟通,只能用IPv4接入。说明Webagent主要解决客户在访问SSL VPN设备时,需要知道VPN设备的WAN口IP地址。特别是对于采用拨号方式的SSL VPN设备而言,设备的WAN口IP地址随时变化,更是增加用户访问VPN的难度。基于这样的客户Webag需求,新增Webagent功能。无论VPN设备的WAN口地址如何变化,用户只需要访问Webagent的URL地址即可正确访问VPN设备。
-
内网资源不支持IPv6(包括四大资源的IPv6形式) 控制台不支持配置IPv6的资源。
若资源配置的是域名,在访问资源时解析出来的是个IPv6的IP,则在访问此资源时,将无法访问。错误页面跟在浏览器输如错误的效果一样,浏览器默认行为。 -
IPSec不支持IPv6
不支持使用IPv6组网,需使用IPv4组网。 -
MAC/Linux/移动端不支持IPv6的接入
MAC/Linux/移动端只能支持IPv4地址接入。
-
Hosts不支持IPv6
控制台不支持配置IPv6的Hosts,配置IPv4地址时,使用IPv4外网和IPv6外网接入Hosts均生效。
-
本地子网不支持IPv6
与IPSec一样,不支持IPv6的子网。
-
DHCP不支持IPv6
不支持以VPN作为DHCP服务器分发IPv6的动态IP。控制台不支持此配置。
-
不支持IPv6分布式部署
不支持IPv6作为接入地址组建分布式。
-
不支持PPTP/L2TP接入
-
L3VPN不支持下发IPv6的虚拟IP地址。
VPN可以实现在后台通过命令调整“链路延迟”和“丢包率”来实现模拟广域网环境吗?
支持,VPN后台使用tc命令:
// 添加 5%丢包,300ms延时,50ms的波动的网络状态。
tc qdisc add dev eth0 root netem loss 5% delay 300ms 50ms
// 移除 上面设置的网络状态。
tc qdisc del dev eth0 root netem loss 5% delay 300ms 50ms
这些命令直接在VPN设备的后台执行,以上eth0需要修改成的对应网口。
关于证明产品合法性的实现过程介绍(证书合法性、证书有效性说明)?
设备证书由客户自行向权威的CA机构进行申请,由CA保证其证书的合法性和有效性,另外,SSL VPN会借助客户端浏览器帮忙做证书的校验,用户证书可由设备证书或外置CA颁发,如果用户证书由外置CA颁发,需要导入外置CA到设备。使用用户证书进行证书认证时,设备通过OpenSSL库检查用户证书的合法性。主要包含有:
- 检查SSL 证书是否是由浏览器中“受信任的根证书颁发机构”颁发。
- 检查SSL证书中的证书吊销列表,检查证书是否被证书颁发机构吊销。
- 检查此SSL证书是否过期。
- 检查部署此SSL证书的网站的域名是否与证书中的域名一致。
- IE7浏览器会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单。
企业微信使用Web VPN方案需要什么授权?
企业微信对接有两种方案,WebVPN方案是SSL授权,不支持商密算法;miniconnect方案是EASYAPP授权,使用SJJ设备时可以支持商密算法。