Comment établir un serveur VPN SSL par Omada Router en mode autonome ?
Scénario d'application de l'utilisateur
Le VPN SSL peut définir les autorisations auxquelles chaque utilisateur peut accéder aux ressources et améliorer la gestion de l'ensemble du réseau. Selon la topologie de réseau suivante, créez trois comptes avec des autorisations différentes sur le serveur VPN SSL pour répondre à différentes exigences.
Compte 1 : le client VPN implémente un accès Internet proxy via le serveur VPN ;
Compte 2 : le client VPN ne peut accéder qu'au VLAN 20, mais ne peut pas accéder au VLAN 30 ;
Compte 3 : Le client VPN et les périphériques derrière le serveur ne peuvent interagir que via le protocole ICMP.
Configuration
Étape 1. Créez le pool d'adresses IP VPN.
Lorsque le client VPN demande à se connecter, le serveur VPN attribue une adresse IP virtuelle, qui provient du pool d'adresses IP VPN. Allez dans Préférences -> Pool d'IP VPN , cliquez sur Ajouter .
Sur la page contextuelle, nous nommons ici le nom du pool IP en tant que SSL_VPN, configurons l'adresse IP de début en tant que 10.10.10.10, l'adresse IP de fin en tant que 10.10.10.100, puis cliquez sur OK pour enregistrer les paramètres. Vous pouvez définir les valeurs en fonction de votre réseau.
Étape 2. Activez le serveur VPN SSL.
Allez dans VPN SSL -> Serveur VPN SSL , cochez Activer . Sur la page contextuelle, choisissez Service port comme WAN/LAN4, choisissez Virtual IP Pool comme SSL_VPN créé à l'étape 1. Définissez le DNS principal comme 8.8.8.8 (vous pouvez le définir en fonction de vos demandes), puis cliquez sur Enregistrer pour enregistrer le réglages.
Étape 3. Créez des ressources de tunnel.
Accédez à SSL VPN -->Resource Management-->Tunnel Resources , cliquez sur Add pour créer deux ressources de tunnel. Sur la page contextuelle, AllowVLAN20 utilise des adresses IP pour limiter les ressources ; AllowICMP utilise le protocole ICMP pour limiter les ressources.
Étape 4. Créer un groupe de ressources.
Accédez à SSL VPN -->Resource Management-->Resource Group , cliquez sur Add pour appliquer les deux ressources de tunnel créées à l'étape 3 à deux groupes de ressources différents.
Remarque : Il existe deux groupes de ressources par défaut Group_LAN et Group_ALL . Group_LAN fait référence à tous les périphériques derrière le serveur, et Group_ALL inclut également des ressources pour accéder à Internet.
Étape 5. Créez un groupe d'utilisateurs.
Accédez à VPN SSL -->Gestion des utilisateurs-->Groupe d'utilisateurs , cliquez sur Ajouter pour créer trois groupes d'utilisateurs. Appliquez différents groupes de ressources aux trois groupes d'utilisateurs en fonction des différentes autorisations des trois comptes. Veuillez noter que si vous souhaitez implémenter l'accès Internet proxy du client, veuillez sélectionner Group_ALL pour le groupe de ressources.
Étape 6. Créer un utilisateur.
Accédez à VPN SSL --> Gestion des utilisateurs --> Utilisateur , cliquez sur Ajouter pour créer trois comptes d'utilisateurs. Chaque compte correspond à un groupe d'utilisateurs différent et vous pouvez définir le nom d'utilisateur et le mot de passe en fonction de vos demandes.
Ici, nous avons créé les trois informations de compte suivantes en fonction des autorisations de ressources des trois comptes ci-dessus :
Étape 7. Exporter le certificat.
Accédez à VPN SSL -> Serveur VPN SSL , cliquez sur Exporter le certificat pour exporter le fichier de configuration, et le client peut se connecter au serveur à l'aide de ce fichier de configuration.
Processus de vérification
Utilisez l'interface graphique OpenVPN sur le client pour importer le fichier de configuration, entrez le nom d'utilisateur et le mot de passe correspondants pour vous connecter.
Compte 1 : le client VPN implémente un accès Internet proxy via le serveur VPN ;
Après une connexion réussie, le serveur attribue au client VPN une adresse IP de 10.10.10.11 . Lorsque le client accède à 8.8.8.8, le premier saut est le tunnel VPN. Comme les données sont cryptées, l'adresse IP correspondante ne peut pas être résolue. Le deuxième saut est la passerelle par défaut du serveur VPN, et toutes les données du client passent par le tunnel VPN pour réaliser un accès Internet proxy.
Allez dans SSL VPN -->Status , les informations sur la connexion du client seront également affichées ici.
Compte 2 : le client VPN ne peut accéder qu'au VLAN 20, mais ne peut pas accéder au VLAN 30
Après une connexion réussie, le serveur attribue au client VPN une adresse IP de 10.10.10.12 . Le client VPN peut cingler le périphérique dans le VLAN 20 (192.168.20.100), mais ne peut pas cingler le périphérique dans le VLAN 30 (192.168.30.100). Dans le même temps, l'interface de gestion du routeur est accessible via 192.168.20.1.
Compte 3 : Le client VPN et les périphériques derrière le serveur ne peuvent interagir que via le protocole ICMP.
Après une connexion réussie, le serveur attribue au client VPN une adresse IP de 10.10.10.13 . Le client VPN peut cingler l'appareil dans le VLAN 20 (192.168.20.100) et l'appareil dans le VLAN 30 (192.168.30.100). Mais l'interface de gestion du routeur n'est pas accessible via 192.168.20.1.