¿Cómo establecer un servidor VPN SSL mediante un enrutador Omada en modo controlador? (Controlador V5.4 o superior)
Escenario de aplicación del usuario
SSL VPN puede establecer los permisos a los que cada usuario puede acceder a los recursos y mejorar la gestión de toda la red. De acuerdo con la siguiente topología de red, cree tres cuentas con diferentes permisos en el servidor SSL VPN para cumplir con diferentes requisitos.
Cuenta 1: el cliente VPN implementa el acceso proxy a Internet a través del servidor VPN;
Cuenta 2: el cliente VPN solo puede acceder a la VLAN 20, pero no puede acceder a la VLAN 30;
Cuenta 3: El Cliente VPN y los dispositivos detrás del Servidor solo pueden interactuar a través del protocolo ICMP.
Configuración
Paso 1. Habilite el servidor VPN SSL.
Vaya a Configuración -->VPN-->SSL VPN, habilite el servidor SSL VPN. En esta página, elija WAN como WAN/LAN4, complete el rango de Virtual IP Pool como 10.10.10.10-10.10.10.100. Configure el DNS principal como 8.8.8.8 (puede configurarlo de acuerdo con sus demandas), luego haga clic en Aplicar para guardar la configuración.
Paso 2. Crear recursos de túnel.
Vaya a Configuración -->VPN-->SSL VPN -->Administración de recursos , haga clic en Crear nuevo recurso de túnel para crear dos recursos de túnel.
En la página emergente, AllowVLAN20 usa direcciones IP para limitar los recursos; AllowICMP utiliza el protocolo ICMP para limitar los recursos.
Paso 3. Crear grupo de recursos.
Vaya a Configuración -->VPN-->SSL VPN -->Administración de recursos , haga clic en Crear nuevo grupo de recursos para aplicar los dos recursos de túnel creados en el paso 2 a dos grupos de recursos diferentes.
Nota: Hay dos grupos de recursos predeterminados Group_LAN y Group_ALL . Group_LAN se refiere a todos los dispositivos detrás del servidor, y Group_ALL también incluye recursos para acceder a Internet.
Paso 4. Crear grupo de usuarios.
Vaya a Configuración -->VPN-->SSL VPN -->Grupo de usuarios , haga clic en " +". En la página, cree un grupo de usuarios cuyo grupo de recursos pertenezca a Group_ALL. Tenga en cuenta que si desea implementar el acceso proxy a Internet del cliente, seleccione Group_ALL para el grupo de recursos.
Paso 5. Crear Usuario.
Cuando se completa la configuración, la lista de usuarios aparecerá en esta página. Haga clic en Agregar Crear nuevo usuario para crear una cuenta de usuario que corresponda al grupo de usuarios Permitir TODOS . Puede configurar el nombre de usuario y la contraseña de acuerdo con sus demandas.
Paso 6. Crear otro Usuario.
Repita los pasos 4 y 5 para crear grupos de usuarios AllowVLAN20 y AllowICMP y vincule las cuentas de usuario correspondientes a estos dos grupos de usuarios respectivamente.
Una vez completada la configuración, la información del usuario creado se mostrará en la página Lista de usuarios.
Paso 7. Certificado de Exportación.
Vaya a SSL VPN -->SSL VPN Server , haga clic en Exportar certificado para exportar el archivo de configuración y el cliente puede conectarse al servidor usando este archivo de configuración.
Proceso de verificación
Use la GUI de OpenVPN en el cliente para importar el archivo de configuración, ingrese el nombre de usuario y la contraseña correspondientes para conectarse.
Cuenta 1: el cliente VPN implementa el acceso proxy a Internet a través del servidor VPN;
Después de una conexión exitosa, el servidor asigna al cliente VPN una dirección IP de 10.10.10.11 . Cuando el cliente accede a 8.8.8.8, el primer salto es el Túnel VPN. Debido a que los datos están encriptados, la dirección IP correspondiente no se puede resolver. El segundo salto es la puerta de enlace predeterminada del servidor VPN, y todos los datos del cliente pasan por el túnel VPN para realizar el acceso proxy a Internet.
Vaya a Insight -->Estado VPN-->SSL VPN , aquí también se mostrará información sobre la conexión del Cliente.
Cuenta 2: el cliente VPN solo puede acceder a la VLAN 20, pero no puede acceder a la VLAN 30
Después de una conexión exitosa, el servidor asigna al cliente VPN una dirección IP de 10.10.10.12 . El cliente VPN puede hacer ping al dispositivo en la VLAN 20 (192.168.20.100), pero no puede hacer ping al dispositivo en la VLAN 30 (192.168.30.100). Al mismo tiempo, se puede acceder a la interfaz de administración del enrutador a través de 192.168.20.1.
Cuenta 3: El Cliente VPN y los dispositivos detrás del Servidor solo pueden interactuar a través del protocolo ICMP.
Después de una conexión exitosa, el servidor asigna al cliente VPN una dirección IP de 10.10.10.13 . El cliente VPN puede hacer ping al dispositivo en la VLAN 20 (192.168.20.100) y al dispositivo en la VLAN 30 (192.168.30.100). Pero no se puede acceder a la interfaz de administración del enrutador a través de 192.168.20.1.
Conozca más detalles de cada función y configuración, vaya al Centro de descargas para descargar el manual de su producto.