Come stabilire un Server VPN SSL con un Router Omada in modalità standalone?
Scenario applicativo
SSL VPN permette di migliorare la gestione del network e di impostare i permessi di accesso degli utenti a determinate risorse. Basandoci sulla seguente topologia, creeremo tre account con differenti permessi sul server SSL VPN.
Account 1: il CLient VPN implementa un accesso Internet proxy tramite Server VPN;
Account 2: il Client VPN può accedere solo alla VLAN 20, ma non può accedere alla VLAN 30;
Account 3: il Client VPN Client ei dispositivi dietro al Server possono interagire solamente attraverso protocollo ICMP.
Configurazione
Step 1. Crea il VPN IP Pool.
Quando il client VPN effettua richiesta di connessione, il server VPN assegna un indirizzo IP virtuale proveniente dall'IP Pool VPN. Vai in Preferences --> VPN IP Pool, clicca su Add.
Nella pagina pop-up, modifichiamo la voce IP Pool Name in SSL_VPN, configuriamo lo Starting IP Address come 10.10.10.10 e l'Ending IP Address come 10.10.10.100, infine clicchiamo su OK per salvare le impostazioni. Puoi impostare i valori a seconda delle necessità del tuo network.
Step 2. Abilita il Server VPN SSL .
Vai in SSL VPN -->SSL VPN Server, clicca su Enable. Nella pagina pop-up, scegli WAN/LAN4 come Service port e SSL_VPN come Virtual IP Pool. Imposta il Primary DNS come 8.8.8.8 (puoi modificare le impostazioni in base alle necessità del tuo network), clicca su Save per confermare le modifiche.
Step 3. Crea Tunnel Resources.
Vai in SSL VPN -->Resource Management-->Tunnel Resources, clicca su Add per creare due nuovi tunnel resources. Nella pagina pop-up, AllowVLAN20 utilizza gli indirizzi IP per limitare le risorse; AllowICMP utilizza protocollo ICMP per limitare le risorse.
Step 4. Crea Resource Group.
Vai in SSL VPN -->Resource Management-->Resource Group, clicca su Add per applicare i due tunnel resources creati nello step 3 a due differenti gruppi di risorse.
Not: Ci sono 2 gruppi risorse di default Group_LAN e Group_ALL. Group_LAN si riferisce ai dispositivi che si trovano dietro al Server, Group_ALL include le risorse per accedere a Internet.
Step 5. Crea User Group.
Vai in SSL VPN -->User Management-->User Group, clicca su Add per creare tre differenti gruppi utente. Applica differenti resource group ai tre gruppi utente in base ai differenti permessi dei tre account.
Nota: se vuoi implementare l'accesso Internet proxy del client, seleziona Group_ALL come resource group.
Step 6. Creare User.
Vai in SSL VPN -->User Management-->User, clicca su Add per creare tre account utente. Ogni account corrisponde a differenti user group, puoi impostare Username e Password in base alle tue necessità.
Nell'immagine seguente abbiamo creato i 3 account basandoci sui permessi resource dei tre gruppi:
Step 7. Esportazione Certificato.
Vai in SSL VPN -->SSL VPN Server, clicca su Export Certificate tper esportare il file di configurazione, il client può connettersi al server server utilizando il file di configurazione.
Processo di verifica
Utilizza la GUI OpenVPN sul client per importare il file di configurazione. Connettiti utilizzando username e password corrispettive.
Account 1: Il client VPN implementa accesso Internet proxy tramite VPN Server;
Dopo che la connessione è avvenuta con successo, il server assegna al client VPN l'indirizzo IP 10.10.10.11. Quando il client accede 8.8.8.8, il primo hop è il tunnel VPN. I dati sono crittografati, il corrispondente indirizzo IP no può essere risolto. Il secondo hop è il default gateway del server VPN, tutti i dati del client passano dal tunnel VPN per realizzare l'accesso Internet proxy.
Vai in SSL VPN -->Status, le informazioni sulla connessione del Client saranno mostrate qui.
Account 2: Il client VPN può accedere alla VLAN 20, ma non alla VLAN 30
Dopo che la connessione è avvenuta con successo, il server assegna al client VPN l'indirizzo IP 10.10.10.12. Il client VPN può pingare il dispositivo in VLAN 20 (192.168.20.100), ma non può pingare il dispositivo in VLAN 30 (192.168.30.100). Allo stesso tempo l'interfaccia di management del router può essere raggiunta tramite 192.168.20.1.
Account 3:Il Client VPN e il dispositivo dietro al Server possono interagire unicamente tramite protocollo ICMP.
Dopo che la connessione è avvenuta con successo, il server assegna al client VPN l'indirizzo IP 10.10.10.13. Il client VPN può pingare il dispositivo in VLAN 20 (192.168.20.100) e il dispositivo in VLAN 30 (192.168.30.100). Ma l'interfaccia di management del router non può essere raggiunta tramite 192.168.20.1.
Per maggiori informazioni sulle funzionalità del prodotto vai in Download Center e scarica il manuale relativo al tuo prodotto.