Come stabilire un Server VPN SSL con un Router Omada in modalità controller? (Controller V5.4 o superiore)

ER8411 , Omada Software Controller( V5 ) , Omada Cloud-Based Controller
Recent updates may have expanded access to feature(s) discussed in this FAQ. Visit your product's support page, select the correct hardware version for your device, and check either the Datasheet or the firmware section for the latest improvements added to your product. Please note that product availability varies by region, and certain models may not be available in your region.
Scenario applicativo
SSL VPN permette di migliorare la gestione del network e di impostare i permessi di accesso degli utenti a determinate risorse. Come nella seguente topologia, creeremo tre account con differenti permessi sul server SSL VPN per andare incontro a diverse necessità.
Account 1: il CLient VPN implementa un accesso Internet proxy tramite Server VPN;
Account 2: il Client VPN può accedere solo alla VLAN 20, ma non può accedere alla VLAN 30;
Account 3: il Client VPN Client e i dispositivi dietro al Server possono interagire solamente attraverso protocollo ICMP.
Configurazione
Step 1. Abilitare il Server SSL VPN.
Vai in Settings -->VPN-->SSL VPN, abilita il server SSL VPN. Imposta WAN/LAN4 come WAN, finserisci il range Virtual IP Pool 10.10.10.10-10.10.10.100. Imposta il Primary DNS come 8.8.8.8 (puoi mpostarlo in base alle necessità del tuo network), clicca su Apply per salvare le impostazioni.
Step 2. Creare Tunnel Resources.
Vai in Settings -->VPN-->SSL VPN -->Resource Management, clicca Create New Tunnel Resource.
Nella pagina pop-up, AllowVLAN20 utilizza indirizzi IP per limitare le risorse, mentre AllowICMP utilizza protocollo ICMP.
Step 3. Creare Resource Group.
Vai in Settings -->VPN-->SSL VPN -->Resource Management, clicca su Create New Resource Group per applicare i due tunnel resources creati in precedenza ai differenti gruppi.
Nota: Ci sono 2 gruppi risorse di default Group_LAN e Group_ALL. Group_LAN si riferisce ai dispositivi che si trovano dietro al Server, Group_ALL include le risorse per accedere a Internet.
Step 4. Creare User Group.
Vai in Settings -->VPN-->SSL VPN -->User Group, clicca “+”. Crea un user group il cui resource group appartenga a Group_ALL.
Nota: se vuoi implementare l'accesso Internet proxy del client, seleziona Group_ALL come resource group.
Step 5. Crea gli User.
Dopo aver completato le impostazioni, la user list apparirà nella pagina. Clicca su Add Create New User per creare un nuovo user account corrispondente al gruppo AllowALL. Puoi impostare Username e Password in base alle tue necessità.
Step 6. Crea un altro utente.
Ripeti gli step 4 e 5 per creare gli user group AllowVLAN20 e AllowICMP, e collega i corrispettivi user account agli user group.
Dopo aver completato l'impostazione, le informazioni utente saranno mostrate nella pagina User List.
Step 7. Esportazione del Certificato.
Vai in SSL VPN -->SSL VPN Server, clicca su Export Certificate per esportare il file di configurazione, il client può connettersi al server utilizzando il file di configurazione.
Processo di verifica
Utilizza la GUI OpenVPN sul client per importare il file di configurazione. Connettiti utilizzando username e password corrispettive.
Account 1: Il client VPN implementa accesso Internet proxy tramite VPN Server;
Dopo che la connessione è avvenuta con successo, il server assegna al client VPN l'indirizzo IP 10.10.10.11. Quando il client accede 8.8.8.8, il primo hop è il tunnel VPN. I dati sono crittografati, il corrispondente indirizzo IP no può essere risolto. Il secondo hop è il default gateway del server VPN, tutti i dati del client passano dal tunnel VPN per realizzare l'accesso Internet proxy.
Vai in Insight -->VPN Status-->SSL VPN per visualizzare informazioni sulla connessione del Client.
Account 2: Il client VPN può accedere alla VLAN 20, ma non alla VLAN 30
Dopo che la connessione è avvenuta con successo, il server assegna al client VPN l'indirizzo IP 10.10.10.12. Il client VPN può pingare il dispositivo in VLAN 20 (192.168.20.100), ma non può pingare il dispositivo in VLAN 30 (192.168.30.100). Allo stesso tempo l'interfaccia di management del router può essere raggiunta tramite 192.168.20.1.
Account 3:Il Client VPN e il dispositivo dietro al Server possono interagire unicamente tramite protocollo ICMP.
Dopo che la connessione è avvenuta con successo, il server assegna al client VPN l'indirizzo IP 10.10.10.13. Il client VPN può pingare il dispositivo in VLAN 20 (192.168.20.100) e il dispositivo in VLAN 30 (192.168.30.100). Ma l'interfaccia di management del router non può essere raggiunta tramite 192.168.20.1.
Per maggiori informazioni sulle funzionalità del prodotto vai in Download Center e scarica il manuale relativo al tuo prodotto.
Related FAQs
- Come configurare IPSec da LAN a LAN VPN per più subnet usando la nuova GUI?
- Come accedere a Internet utilizzando VPN Server come gateway proxy?
- What to do if you cannot access the remote network through Client-to-LAN/Site VPN tunnel
- Come configurare un Server VPN PPTP & L2TP con Gateway Omada in controller mode?
Questa faq è utile?
Your feedback helps improve this site.
What’s your concern with this article?
- Dissatisfied with product
- Too Complicated
- Confusing Title
- Does not apply to me
- Too Vague
- Other
Grazie
We appreciate your feedback.
Click here to contact TP-Link technical support.
Questo sito utilizza i cookies per migliorare l'esperienza di navigazione, analizzare le attività online e offrire agli utenti una migliore user experience. Puoi disattivare o rifiutare il loro utilizzo in qualunque momento. Per maggiori informazioni consulta la nostra privacy policy .
Your Privacy Choices
Questo sito utilizza i cookies per migliorare l'esperienza di navigazione, analizzare le attività online e offrire agli utenti una migliore user experience. Puoi disattivare o rifiutare il loro utilizzo in qualunque momento. Per maggiori informazioni consulta la nostra privacy policy .
Basic Cookies
Questi cookies sono necessari per il corretto funzionamento del sito e non possono essere disattivati nel tuo sistema.
TP-Link
SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType
Youtube
id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ
Zendesk
OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance
Analytics e Marketing Cookies
I cookies analitici ci permettono di analizzare le tue attività sul nostro sito allo scopo di migliorarne le funzionalità.
I marketing cookies possono essere impostati sul nostro sito dai nostri partner pubblicitari allo scopo di creare un profilo di tuo interesse e proporti contenuti pubblicitari rilevanti su altri siti.
Google Analytics & Google Tag Manager
_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>
Google Ads & DoubleClick
test_cookie, _gcl_au