Come stabilire un Server VPN SSL con un Router Omada in modalità controller? （Controller V5.4 o superiore）

Scenario applicativo

SSL VPN permette di migliorare la gestione del network e di impostare i permessi di accesso degli utenti a determinate risorse. Come nella seguente topologia, creeremo tre account con differenti permessi sul server SSL VPN per andare incontro a diverse necessità.

Account 1: il CLient VPN implementa un accesso Internet proxy tramite Server VPN;

Account 2: il Client VPN può accedere solo alla VLAN 20, ma non può accedere alla VLAN 30;

Account 3: il Client VPN Client e i dispositivi dietro al Server possono interagire solamente attraverso protocollo ICMP.

Configurazione

Step 1. Abilitare il Server SSL VPN.

Vai in Settings -->VPN-->SSL VPN, abilita il server SSL VPN. Imposta  WAN/LAN4 come WAN, finserisci il range Virtual IP Pool 10.10.10.10-10.10.10.100. Imposta il Primary DNS come 8.8.8.8 (puoi mpostarlo in base alle necessità del tuo network), clicca su Apply per salvare le impostazioni.

Step 2. Creare Tunnel Resources.

Vai in Settings -->VPN-->SSL VPN -->Resource Management, clicca Create New Tunnel Resource.

Nella pagina pop-up, AllowVLAN20 utilizza indirizzi IP per limitare le risorse, mentre AllowICMP utilizza protocollo ICMP.

Step 3. Creare Resource Group.

Vai in Settings -->VPN-->SSL VPN -->Resource Management, clicca su Create New Resource Group per applicare i due tunnel resources creati in precedenza ai differenti gruppi.

Nota: Ci sono 2 gruppi risorse di default Group_LAN e Group_ALL. Group_LAN si riferisce ai dispositivi che si trovano dietro al Server, Group_ALL include le risorse per accedere a Internet.

Step 4. Creare User Group.

Vai in Settings -->VPN-->SSL VPN -->User Group, clicca “+”. Crea un user group il cui resource group appartenga a Group_ALL.

Nota: se vuoi implementare l'accesso Internet proxy del client, seleziona Group_ALL come resource group.

Step 5. Crea gli User.

Dopo aver completato le impostazioni, la user list apparirà nella pagina. Clicca su Add Create New User per creare un nuovo user account corrispondente al gruppo AllowALL. Puoi impostare Username e Password in base alle tue necessità.

Step 6. Crea un altro utente.

Ripeti gli step 4 e 5 per creare gli user group AllowVLAN20 e AllowICMP, e collega i corrispettivi user account agli user group.

Dopo aver completato l'impostazione, le informazioni utente saranno mostrate nella pagina User List.

Step 7. Esportazione del Certificato.

Vai in SSL VPN -->SSL VPN Server, clicca su Export Certificate per esportare il file di configurazione, il client può connettersi al server utilizzando il file di configurazione.

Processo di verifica

Utilizza la GUI OpenVPN sul client per importare il file di configurazione. Connettiti utilizzando username e password corrispettive.

Account 1: Il client VPN implementa accesso Internet proxy tramite VPN Server;

Dopo che la connessione è avvenuta con successo, il server assegna al client VPN l'indirizzo IP 10.10.10.11. Quando il client accede 8.8.8.8, il primo hop è il tunnel VPN. I dati sono crittografati, il corrispondente indirizzo IP no può essere risolto. Il secondo hop è il default gateway del server VPN, tutti i dati del client passano dal tunnel VPN per realizzare l'accesso Internet proxy.

Vai in Insight -->VPN Status-->SSL VPN per visualizzare informazioni sulla connessione del Client.

Account 2: Il client VPN può accedere alla VLAN 20, ma non alla VLAN 30

Dopo che la connessione è avvenuta con successo, il server assegna al client VPN l'indirizzo IP 10.10.10.12. Il client VPN può pingare il dispositivo in VLAN 20 (192.168.20.100), ma non può pingare il dispositivo in VLAN 30 (192.168.30.100). Allo stesso tempo l'interfaccia di management del router può essere raggiunta tramite 192.168.20.1.

Account 3:Il Client VPN e il dispositivo dietro al Server possono interagire unicamente tramite protocollo ICMP.

Dopo che la connessione è avvenuta con successo, il server assegna al client VPN l'indirizzo IP 10.10.10.13. Il client VPN può pingare il dispositivo in VLAN 20 (192.168.20.100) e il dispositivo in VLAN 30 (192.168.30.100). Ma l'interfaccia di management del router non può essere raggiunta tramite 192.168.20.1.

Per maggiori informazioni sulle funzionalità del prodotto vai in Download Center e scarica il manuale relativo al tuo prodotto.