Come configurare un Server VPN PPTP & L2TP con Gateway Omada in controller mode?
Nota. La guida si riferisce a Omada SDN Controller v 4.3 o successive release.
Scenario Applicativo
Per consentire agli utenti di accedere alla LAN da remoto, è consigliato creare un tunnel VPN client-to-site nel quale il Gateway Omada funge da Server VPN. Questa tipologia di tunnel VPN è particolarmente indicata per consentire ai dipendenti in trasferta o in smartworking di accedere alle risorse centrali aziendali da località remote, senza compromettere la privacy e la sicurezza del network.
Nella guida vedremo come impostare un Gateway Omada come server PPTP/L2TP e stabilire un tunnel VPN client-to-site.
Nota. Se il Gateway si trova dietro dispositivo NAT, per stabilire con successo un tunnel VPN assicurati che la porta TCP 1723 (per VPN PPTP) o le porte UDP 500/1701/4500 (per L2TP su VPN IPsec) del dispositivo NAT siano aperte.
Configurazione
Vai in Settings > VPN e clicca "+ Create New VPN Policy".
1) Per Server PPTP: inserisci il nome della nuova VPN policy, in "Purpose" seleziona Client-to-Site VPN, mentre in "VPN Type" imposta VPN Server-PPTP. Imposta i parametri corrispondenti e infine clicca su Create.
Status |
Seleziona la casella di controllo per abilitare il tunnel VPN. |
MPPE Encryption |
Seleziona Encrypted per abilitare MPPE (Microsoft Point-to-Point Encryption) per la sicurezza del tunnel VPN. |
Local Networks |
Seleziona il network della sede centrale. La nuova VPN policy verrà applicata al network selezionato. Gli utenti da remoto potranno accedere al network tramite il tunnel VPN creato. |
WAN |
Seleziona la porta WAN sulla quale verrà stabilito il tunnel VPN. Quando il Gateway è impostato come Server PPTP ogni porta WAN supporta un solo tunnel VPN PPTP. |
IP Pool |
Specifica indirizzo IP e subnet. Il Gateway assegnerà gli indirizzi IP dall'IP pool per permettere agli utenti da remoto di accedere al network locale. Nota. L'IP Pool non può essere nella stessa subnet del LAN IP. |
2) Per Server L2TP: inserisci il nome della nuova VPN policy, in "Purpose" seleziona Client-to-Site VPN, mentre in "VPN Type" imposta VPN Server-L2TP. Imposta i parametri corrispondenti e infine clicca su Create.
Status |
Seleziona la casella di controllo per abilitare il tunnel VPN. |
IPsec Encryption |
Per motivi di sicurezza, seleziona Encrypted per criptare il tunnel VPN con IPsec. |
Local Networks |
Seleziona il network della sede centrale. La nuova VPN policy verrà applicata al network selezionato. Gli utenti da remoto potranno accedere al network tramite il tunnel VPN creato. |
Pre-Shared Key |
Inserisci la Pre-Shared Key (PSK) che fungerà da chiave di autenticazione. Il Gateway della sede centrale e l'utente da remoto utilizzeranno la stessa PSK. |
WAN |
Seleziona la porta WAN sulla quale verrà stabilito il tunnel VPN. Quando il Gateway è impostato come Server L2TP ogni porta WAN supporta un solo tunnel VPN L2TP. |
IP Pool |
Specifica indirizzo IP e subnet. Il Gateway assegnerà gli indirizzi IP dall'IP pool per permettere agli utenti da remoto di accedere al network locale. Nota. L'IP Pool non può essere nella stessa subnet del LAN IP. |
Vai in Settings > VPN > VPN User. Clicca su "+Create New VPN User" e inserisci un nuovo nominativo.
Specifica username e password che saranno utilizzati dall'utente per l'autenticazione, seleziona il server VPN creato durante lo Step 2.
In "Mode" seleziona Client e specifica il massimo numero di connessioni VPN che l'utente potrà attivare in contemporanea. Se vuoi impostare un gateway come client PPTP/L2TP, in "Mode" seleziona Network Extension Mode. Successivamente clicca Create.
Sul PC/laptop dell'utente da remoto è possibile stabilire la connessione con il server PPTP/L2TP utilizzando il software Windows PPTP/L2TP integrato, oppure utilizzando un software di terze parti. Per maggiori informazioni sulla configurazione di dispositivi con software Windows clicca qui.
Verifica del tunnel VPN L2TP/PPTP
Vai in Insight > VPN Status > VPN Tunnel e controlla i dati. Se la tabella riporta la riga corispondente il tunnel VPN è stato stabilito correttamente.