如何透過 Omada 路由器建立 SSL VPN Server（獨立管理模式）

Knowledgebase

FAQ

VPN

Standalone

Bookmarks Feedback

08-23-2022

使用者應用場景

SSL VPN 可以設定每個使用者存取資源的權限，以提升對整個網路的管理。依據如下拓樸，在 SSL VPN Server 下建立三個不同權限的帳號以滿足不同的需求。

帳號 1：VPN 用戶端透過 VPN Server 執行 Proxy 上網服務；

帳號 2：VPN 用戶端只能存取 VLAN 20，不能存取 VLAN 30；

帳號 3：VPN 用戶端與 Server 後端的裝置，只能透過 ICMP 協定互通。

設定

步驟 1. 建立 VPN IP Pool

當 VPN 用戶端連線時，VPN Server 會由 VPN IP Pool 分配一個虛擬 IP 位址。在 Preferences --> VPN IP Pool，點擊 Add。

在該頁面中，將 IP Pool Name 命名為 SSL_VPN，Starting IP Address 設定為 10.10.10.10，Ending IP Address 設定為 10.10.10.100，完成後點擊 OK 儲存設定。可依照您的需求進行設定。

步驟 2. 啟用 SSL VPN Server

在 SSL VPN --> SSL VPN Server，勾選 Enable。將 Service Port 指定為 WAN/LAN4，Virtual IP Pool 選擇步驟1建立的 SSL_VPN。Primary DNS 設定為 8.8.8.8（可依您的需求自行調整），完成後點擊 Save 儲存設定。

步驟 3. 建立 Tunnel Resources

在 SSL VPN --> Resource Management --> Tunnel Resources，點擊 Add 建立兩個 Tunnel Resources。AllowVLAN20 使用 IP 位址來限制 Resources；AllowICMP 使用 ICMP 協定來限制 Resources。

步驟 4. 建立 Resource Group

在 SSL VPN --> Resource Management --> Resource Group，點擊 Add 各別建立兩個不同的 Resource Group，並套用步驟 3 所建立的 tunnel resources。

說明：有兩個預設的 Resource Group Group_LAN 和 Group_ALL。Group_LAN 是指在 Server 後端的所有裝置，而 Group_ALL 包含存取網路的 Resource。

步驟 5. 建立 User Group

在 SSL VPN --> User Management --> User Group，點擊 Add 建立 3 個使用者群組。依照 3 個不同權限的帳號，分配不同的 Resource Group 給 3 個使用者群組。如要實現用戶端的 Proxy 上網服務，請將 Resource Group 選擇為 Group_ALL。

步驟 6. 建立使用者

在 SSL VPN --> User Management --> User，點擊 Add 建立 3 個使用者帳號。每個帳號對應不同的使用者群組，並依您的需求設定用戶名稱及密碼。

在此我們依據上述 3 個帳號的 resource 權限，建立了 3 個使用者帳號資訊：

步驟 7. 匯出憑證

在 SSL VPN --> SSL VPN Server，點擊 Export Certificate 匯出設定檔，用戶端可透過此設定檔連接至 Server。

驗證程序

在用戶端使用 OpenVPN GUI 匯入設定檔，並輸入對應的帳號名稱及密碼來連線。

帳號 1：VPN 用戶端透過 VPN Server 執行代理上網服務；

連線成功後，Server 端會分配 IP 位址 10.10.10.11 給 VPN 用戶端。當用戶端存取 8.8.8.8 時，第一段點為 VPN Tunnel，因資料是經過加密的，因此無法解析出對應的 IP 位址。第二段點為 VPN Server 的預設閘道，用戶端的所有資料都經由 VPN Tunnel 實現 Proxy 上網服務。

在 SSL VPN --> Status，可檢視用戶端的連線資訊。

帳號 2：VPN 用戶端只能存取 VLAN 20，不能存取 VLAN 30

連線成功後，Server 分配 IP 位址 10.10.10.12 給 VPN 用戶端。VPN 用戶端可 Ping 屬於 VLAN 20 的裝置（192.168.20.100），但無法 Ping 屬於 VLAN 30 的裝置（192.168.30.100）。同時，可透過 192.168.20.1 管理路由器 Interface。

帳號 3：VPN 用戶端與 Server 後端的裝置，只能透過 ICMP 協定互通

連線成功後，Server 分配 IP 位址 10.10.10.13 給 VPN 用戶端。VPN 用戶端可 Ping 屬於 VLAN 20 的裝置（192.168.20.100）以及屬於 VLAN 30 的裝置（192.168.30.100）。但無法透過 192.168.20.1 管理路由器 Interface。