文章介绍：飞将SSLVPN是一款符合企业级远程办公和安全访问的零信任解决方案。支持远程办公、网络管理、权限管理、应用管理、日志审计、内网穿透等实用功能。部署简单，轻松运维，无需公网IP一键连接内网应用。全终端支持（飞将支持macOS和Windows的自研客户端），且完全兼容思科AnyConnect客户端和OpenConnect客户端。社区版支持对接AD域作为认证源，其他详细信息，请参阅官网介绍。

一、项目来源

• 1、官网：飞将一站式IT办公平台
• 2、官方GitHub：飞将
• 3、官方部署文档：使用指南
• 4、社区版，专业版，企业版：版本对比
• 5、项目进度：研发规划
• 6、技术论坛：BBS知识库
• 7、在线演示平台：点击参观，默认账号：admin，默认密码：admin123!@#
• 8、微信，QQ讨论组：点击联系我们，或者扫描下方微信二维码

二、部署准备

• 1、安装好docker和docker-compose的linux服务器（NAS，飞牛等环境需要自行验证，本篇介绍Ubuntu系统部署）
• 2、公网IP（如果没有，飞将提供免费的内网穿透服务）
• 3、下载好飞将客户端，或者Cisco AnyConnect，或者OpenConnect
• 4、获取免费授权key，微信搜索：飞将互联（点击产品授权-点击获取授权）

三、客户端下载

3.1、飞将客户端

3.2、Cisco AnyConnect和OpenConnect客户端

四、正式部署

4.1、安装docker

Liunx-脚本】VPS 脚本大全

4.2、下载飞将服务端

sudo wget https://pan.yydy.link:2023/d/share/feijiang/feijiang-server-installer-0.0.1-linux-amd64.tar.gz

4.3、解压缩到opt目录

sudo tar -xzf feijiang-server-installer-0.0.1-linux-amd64.tar.gz -C /opt

4.4、进入配置目录

cd /opt/feijiang-server-installer-0.0.1-linux-amd64

4.5、修改环境变量

4.5.1、编辑.env配置文件

nano .env

4.5.2、修改授权码

将专属您的授权码替换到配置文件中，例如下面的配置模式

4.5.3、启动服务

sudo docker-compose up -d

4.6、登录web管理平台

• 1、登录地址：http://server-ip:8080
• 2、默认账号：admin
• 3、默认密码：admin123!@#

五、Web功能介绍

5.1、角色管理

定义飞将系统管理员的角色，支持授权：首页、身份管理、VPN管理、应用管理、终端管理、日志审计。

5.2、用户管理

定义飞将系统管理员的账号，支持绑定各种角色以达到飞将系统管理的分权能力（支持冻结，解冻管理员账号）。

5.3、实名认证

实名认证主要用于管理员可以修改各项飞将系统参数使用，例如下面的内网穿透。

5.4、内网穿透

飞将社区版提供2个端口和1兆带宽的免费内网穿透服务，可以用于测试用户快速体验，微企访问内网使用。

• 1、服务名称：管理员用来区分映射
• 2、协议类型：支持TCP和UDP
• 3、内网地址：当映射飞将服务时，填写：127.0.0.1；当映射内网服务器时，请填写内网IP地址
• 4、内网端口：请填写服务的端口号
• 5、带宽权重：0比10占比，社区版免费1兆带宽
• 6、失效时间：此条映射何时失效

5.5、修改管理员密码

5.6、飞将系统页面调整

5.7、首页

展示：VPN账号数，VPN地址占用数，在线VPN用户会话量，VPN用户在线比例，活跃用户走势图。

5.8、身份管理

5.8.1、分组管理

点击：组内账号，可以新增用户，也可以添加已有用户。

5.8.2、账号管理

社区版支持20个活跃账号，如果超过20个账号，可以将不活跃的账号冻结，冻结后的账号不占用20个活跃账号并发。

• 1、账号名称：用户终端登录使用，建议英文+数字格式
• 2、登录密码：可以统一填写，飞将客户端支持用户自主修改密码
• 3、所属分组：一个用户只能属于一个分组
• 4、真实姓名：用于日志审计
• 5、电子邮箱：用于终端接收VPN账号开通信息，且支持邮箱登录VPN
• 6、手机号码：按需填写，填写后支持用户手机号码登录VPN
• 7、失效时间：不选默认永久使用，填写后支持到期后账号自动冻结

5.8.3、身份源设置

用于对接AD域，使用域控账号登录VPN，按照信息填写AD参数即可。

5.9、VPN管理

5.9.1、访问策略

5.9.1.1、基础信息

• 1、策略名称：区分策略
• 2、策略类型：默认策略（当用户未分组时，匹配默认策略）；分组策略（对指定用户组生效）；账号策略（针对单个用户账号生效）
• 3、运行模式：兼容模式（支持飞将客户端+Cisco Anyconnect客户端+OpenConnect客户端）；安全增强模式（仅支持飞将客户端）

5.9.1.2、DNS设置

填写内网DNS服务器IP，当没有内网DNS时留空。

5.9.1.3、路由设置

下发内网网段路由，排除指定网段或者IP。

5.9.1.4、访问控制

控制对下发的网段中的IP访问权限，允许或者拒绝（如果是黑名单策略，最下面一条配置全允许，白名单模式相反）。

5.9.2、在线会话

显示当前在线用户。

5.9.3、分配地址

给终端固定IP地址。

5.9.4、其他设置

配置Cisco AnyConnect客户端登录时显示的消息。

5.10、应用管理

应用管理功能只支持飞将客户端使用，其他客户端不支持。

5.10.1、应用分类

应用分类用于在飞将客户端页面显示，用户可以看到自己授权的应用分类或者Web应用。

5.10.2、Web应用

5.10.2.1、基础信息

• 1、应用名称：用于区分应用
• 2、应用图标：支持用户自定义显示LOGO
• 3、访问地址：内网业务访问地址（也支持外网模式）
• 4、所属类别：属于那类应用
• 5、应用排序：定义客户端显示位置靠前或者靠后

5.10.2.2、安全策略

支持对Web应用配置：网页明水印，禁止复制文本，禁止鼠标右键，禁止开发者工具，禁止复制到外部浏览器打开。

六、飞将客户端连接测试

6.1、修改网关地址

网关地址写你的服务器公网IP地址，或者端口映射后的公网IP，如果是使用飞将的内网穿透，请填写飞将提供的公网IP和端口（飞将VPN端口默认TCP8560）。

6.2、登录VPN

登录VPN后自动检测本地环境是内网还是外网，外网环境自动连接VPN。

七、终端管理

7.1、终端列表

显示当前在线的用户信息。

7.2、授权记录

显示已授权的用户，可以禁用授权，禁止此终端使用。

八、日志审计

8.1、VPN日志

显示用户连接和退出日志，显示用户访问日志。

8.2、终端登录日志

显示用户连接VPN成功和失败的日志，可以通过这里判断是否有暴力破解的账号。

8.3、后台系统日志

显示各管理员登录飞将系统的日志，以及管理员的操作日志。

九、访问内网

9.1、内网配置回程路由

如果需要以源IP100.64.0.0/20访问内网，需要在内网添加目标地址去100.64.0.0/20下一跳丢给飞将服务器IP。

9.2、飞将服务器配置NAT

如果需要以飞将服务器源IP地址访问内网，需要修改飞将配置文件，开启NAT功能，将源IP100.64.0.0/20转换成飞将服务器IP。

9.2.1、进去配置目录

cd /opt/feijiang-server-installer-0.0.1-linux-amd64

9.2.2、修改.env配置

sudo nano .env

9.2.3、查看iptables表

iptables -t nat -L -n -v |grep MAS