1. 概述
1.1 问题描述
出于安全考虑,很多客户的服务器都是搭建在内网环境中,而手机等移动设备往往连接 WiFi 或者 4G 等公共网络。
如今移动办公愈发普遍,那么客户如何在保证安全性的前提下,使用移动设备访问内网的服务器呢?
1.2 解决思路
通过调研,国内深信服 VPN 市场占有率达到 50% 以上,因此帆软 App 内嵌了深信服 VPN。
用户可搭建深信服 VPN 服务器,直接在帆软 App 中通过 VPN 账号登录 VPN 服务器,从而访问内网服务器。
用户如使用了其他 VPN 厂商搭建服务器,则可以通过安装其他VPN厂商的客户端来使用。
注1:使用 VPN 需要开启 EMM 设备认证。
注2:App10.0 暂不支持 SDK 集成。
2. 深信服控制台设置
使用深信服 VPN 访问报表工程,首先需要在深信服 VPN 的控制台添加用户,再将报表工程添加为 TCP 应用,最后再给对应的角色授权。下面详细介绍:
注:这里介绍的 SSL VPN 的版本是 M7.5,仅供参考,若是其他版本请自行查找一下对应的选项
2.1 添加用户
2.1.1 新增用户组
点击「SSL VPN 设置」>「用户管理」>「新建」>「用户组」。如下图所示:
填写名称,点击保存,如下图所示:
这样用户组就添加好了,点击立即生效即可。如下图所示:
2.1.2 新建用户
输入名称,所属组为刚刚新增的文档组,填写密码(后面登录需要用到),点击保存。如下图所示:
这样用户就新增好了,点击立即生效即可,如下图所示:
2.2 新建资源管理
2.2.1 新增资源组
点击「SSL VPN 设置」>「资源管理」>「新建」>「资源组」。如下图所示:
填写名称,添加描述,点击保存。如下图所示:
这样资源组就新增好了。
2.2.2 新建 TCP 应用
点击「新建」>「TCP 应用」,如下图所示:
填写名称、描述、类型,添加地址输入
端口范围(如果是单个 8080 端口可以如图填写范围为 8075-8075)。点击确定,点击保存,如下图所示:
点击保存后,资源组和 TCP 应用就添加完毕了,点击立即生效即可。如下图所示:
2.3 角色授权
给角色授权后,相应的用户就可以在 VPN 连接成功后访问此「IP:端口」的报表工程了。
点击「SSL VPN 设置」>「角色授权」>「新建」>「新建角色」。如下图所示:
填写角色名称,分别设置选择授权用户和编辑授权资源列表。如下图所示:
选择授权用户,这里选择「2.1.2 节」中新建的用户。如下图所示:
编辑授权资源列表,这里选择「2.2.2 节」中新增的 TCP 应用。如下图所示:
点击保存,可以看到角色已授权完毕,点击立即生效即可。如下图所示:
2.4 注意事项
2.1 中新用户添加后,需要在 PC 端登录 VPN 进行第一次登录密码修改。如下图所示:
3. 移动端设置
3.1 开启深信服 VPN
由于报表服务器部署在内网,不使用 VPN 时,外网连接不了报表服务器,因此需要在添加服务器前先设置 VPN。
打开帆软 App,点击「虚拟网设置」,打开「启用」按钮,输入「VPN 地址」、「账号」、「密码」,点击「连接」即可成功登录 VPN。如下图所示:
虚拟网设置如下表所示:
设置项 | 内容 |
---|---|
VPN 服务器 | ip:端口号,不需要加https://,例如:192.168.1.11:111 |
用户名 | 2.1.2 节新增的用户名 |
密码 | 2.4 节 PC 端登录 VPN 认证后,修改的登录密码 |
注1:VPN 设置成功后,登录信息会保存在本地,每次打开 App 客户端,会自动登录 VPN。
注2:若连接成功后,重新配置 VPN 失败,则仍保留之前成功连接的配置,但连接断开,需要重新连接才能生效。
注3:若 VPN 服务器地址填写不符合规范,则提示:地址无效
注4:若账号密码输入错误,连接失败,则提示:虚拟网连接失败,请查看配置
注5:如果一直提示配置失败,需要确认下是否开通了 EMM 认证,如果没有开通需要开通下。
3.2 配置内网服务器
VPN 连接成功后,点击「服务器」>「新建服务器」,手动输入「内网服务器信息」,输入「账号密码」即可登录内网系统。如下图所示: