Comment établir un serveur VPN SSL par le routeur Omada en mode contrôleur ? (Contrôleur V5.4 ou supérieur)
Scénario d'application de l'utilisateur
Le VPN SSL peut définir les autorisations auxquelles chaque utilisateur peut accéder aux ressources et améliorer la gestion de l'ensemble du réseau. Selon la topologie de réseau suivante, créez trois comptes avec des autorisations différentes sur le serveur VPN SSL pour répondre à différentes exigences.
Compte 1 : le client VPN implémente un accès Internet proxy via le serveur VPN ;
Compte 2 : le client VPN ne peut accéder qu'au VLAN 20, mais ne peut pas accéder au VLAN 30 ;
Compte 3 : Le client VPN et les périphériques derrière le serveur ne peuvent interagir que via le protocole ICMP.
Configuration
Étape 1. Activez le serveur VPN SSL.
Allez dans Paramètres -->VPN-->VPN SSL, activez le serveur VPN SSL. Sur cette page, choisissez WAN comme WAN/LAN4, remplissez la plage du pool d'adresses IP virtuelles comme 10.10.10.10-10.10.10.100. Définissez le DNS principal sur 8.8.8.8 (vous pouvez le définir en fonction de vos demandes), puis cliquez sur Appliquer pour enregistrer les paramètres.
Étape 2. Créez des ressources de tunnel.
Allez dans Paramètres -->VPN-->VPN SSL -->Gestion des ressources , cliquez sur Créer une nouvelle ressource de tunnel pour créer deux ressources de tunnel.
Sur la page contextuelle, AllowVLAN20 utilise des adresses IP pour limiter les ressources ; AllowICMP utilise le protocole ICMP pour limiter les ressources.
Étape 3. Créer un groupe de ressources.
Accédez à Paramètres -->VPN-->VPN SSL -->Gestion des ressources , cliquez sur Créer un nouveau groupe de ressources pour appliquer les deux ressources de tunnel créées à l'étape 2 à deux groupes de ressources différents.
Remarque : Il existe deux groupes de ressources par défaut Group_LAN et Group_ALL . Group_LAN fait référence à tous les périphériques derrière le serveur, et Group_ALL inclut également des ressources pour accéder à Internet.
Étape 4. Créez un groupe d'utilisateurs.
Allez dans Paramètres -->VPN-->VPN SSL -->Groupe d'utilisateurs , cliquez sur « + ». Sur la page, créez un groupe d'utilisateurs dont le groupe de ressources appartient à Group_ALL. Veuillez noter que si vous souhaitez implémenter l'accès Internet proxy du client, veuillez sélectionner Group_ALL pour le groupe de ressources.
Étape 5. Créer un utilisateur.
Lorsque le réglage est terminé, la liste des utilisateurs apparaîtra sur cette page. Cliquez sur Ajouter Créer un nouvel utilisateur pour créer un compte utilisateur correspondant au groupe d'utilisateurs AllowALL . Vous pouvez définir le nom d'utilisateur et le mot de passe en fonction de vos demandes.
Étape 6. Créez un autre utilisateur.
Répétez les étapes 4 et 5 pour créer des groupes d'utilisateurs AllowVLAN20 et AllowICMP, et liez les comptes d'utilisateurs correspondants à ces deux groupes d'utilisateurs respectivement.
Une fois le réglage terminé, les informations utilisateur créées seront affichées sur la page Liste des utilisateurs.
Étape 7. Exporter le certificat.
Accédez à VPN SSL -> Serveur VPN SSL , cliquez sur Exporter le certificat pour exporter le fichier de configuration, et le client peut se connecter au serveur à l'aide de ce fichier de configuration.
Processus de vérification
Utilisez l'interface graphique OpenVPN sur le client pour importer le fichier de configuration, entrez le nom d'utilisateur et le mot de passe correspondants pour vous connecter.
Compte 1 : le client VPN implémente un accès Internet proxy via le serveur VPN ;
Après une connexion réussie, le serveur attribue au client VPN une adresse IP de 10.10.10.11 . Lorsque le client accède à 8.8.8.8, le premier saut est le tunnel VPN. Comme les données sont cryptées, l'adresse IP correspondante ne peut pas être résolue. Le deuxième saut est la passerelle par défaut du serveur VPN, et toutes les données du client passent par le tunnel VPN pour réaliser un accès Internet proxy.
Accédez à Insight -->VPN Status-->SSL VPN , les informations sur la connexion client seront également affichées ici.
Compte 2 : le client VPN ne peut accéder qu'au VLAN 20, mais ne peut pas accéder au VLAN 30
Après une connexion réussie, le serveur attribue au client VPN une adresse IP de 10.10.10.12 . Le client VPN peut cingler le périphérique dans le VLAN 20 (192.168.20.100), mais ne peut pas cingler le périphérique dans le VLAN 30 (192.168.30.100). Dans le même temps, l'interface de gestion du routeur est accessible via 192.168.20.1.
Compte 3 : Le client VPN et les périphériques derrière le serveur ne peuvent interagir que via le protocole ICMP.
Après une connexion réussie, le serveur attribue au client VPN une adresse IP de 10.10.10.13 . Le client VPN peut cingler l'appareil dans le VLAN 20 (192.168.20.100) et l'appareil dans le VLAN 30 (192.168.30.100). Mais l'interface de gestion du routeur n'est pas accessible via 192.168.20.1.