컨트롤러 모드의 Omada 라우터에서 SSL VPN 서버를 구축하는 방법（컨트롤러 V5.4 이상）

사용자 애플리케이션 시나리오

SSL VPN은 각 사용자가 리소스에 액세스할 수 있는 권한을 설정하고 전체 네트워크에 관리를 개선합니다. 다음 네트워크 토폴로지에 따라 SSL VPN 서버에서 서로 다른 권한을 가진 세 개의 계정을 생성하여 다양한 요구사항을 충족합니다.

계정 1: VPN 클라이언트는 VPN 서버를 통해 프록시 인터넷 액세스를 구현합니다;

계정 2: VPN 클라이언트는 VLAN 20에만 액세스할 수 있으며 VLAN 30에는 액세스할 수 없습니다;

계정 3: VPN 클라이언트와 서버 뒤의 장치는 ICMP 프로토콜을 통해서만 상호작용할 수 있습니다.

구성

1단계. SSL VPN 서버 활성화

설정 -->VPN-->SSL VPN으로 이동하여 SSL VPN 서버를 활성화합니다. 이 페이지에서 WAN을 WAN/LAN4로 선택하고 가상 IP 풀의 범위를 10.10.10.10-10.10.10.100으로 채웁니다. 기본 DNS를 8.8.8.8 (필요에 따라 설정할 수 있음)로 설정하고 적용을 클릭해 설정을 저장합니다.

2단계. 터널 리소스 생성

설정 -->VPN-->SSL VPN -->리소스 관리로 이동하여 새 터널 리소스 생성하기를 클릭하여 2개의 터널 리소스를 생성합니다.

팝업 페이지에서 AllowVLAN20은 리소스를 제한하기 위해 IP 주소를 사용합니다; AllowICMP는 리소스를 제한하기 위해 ICMP 프로토콜을 사용합니다.

3단계. 리소스 그룹 생성

설정 -->VPN-->SSL VPN -->리소스 관리로 이동하여 새로운 리소스 그룹 생성하기 t를 클릭해 2단계에서 생성한 2개의 터널 리소스를 2개의 다른 리소스 그룹에 적용합니다.

참고: 2개의 기본 리소스 그룹인 Group_LAN 과 Group_ALL이 있습니다. Group_LAN은 서버 뒤에 있는 모든 장치를 나타내며 Group_ALL은 인터넷 액세스를 위한 리소스도 포함됩니다.

4단계. 사용자 그룹 생성

설정 -->VPN-->SSL VPN -->사용자 그룹으로 이동하여 “+”를 클릭합니다. 페이지에서 리소스 그룹이 Group_ALL에 속하는 그룹을 생성합니다. 클라이언트의 프록시 인터넷 액세스를 구현하려면 리소스 그룹의 Group_ALL을 선택하세요.

5단계. 사용자 생성

설정이 완료되면 사용자 목록이 페이지에 나타납니다. 새로운 사용자 생성하기 추가를 클릭하여 AllowALL 사용자 그룹에 해당하는 사용자 계정을 생성합니다. 필요에 따라 사용자 이름과 비밀번호를 설정할 수 있습니다.

6단계. 다른 사용자 생성

4단계와 5단계를 반복하여 AllowVLAN20 및 AllowICMP 사용자 그룹을 생성하고 해당 사용자 계정을 이 2개의 사용자 그룹에 각각 바인딩합니다.

설정이 완료되면 생성한 사용자 정보가 사용자 목록 페이지에 나타납니다. 

7단계. 인증서 내보내기

SSL VPN -->SSL VPN 서버로 이동하여  인증서 내보내기를 클릭해 구성 파일을 내보내면 클라이언트가 구성 파일을 사용하여 서버에 연결할 수 있습니다. 

인증 프로세스

클라이언트에서 OpenVPN GUI를 사용하여 구성 파일을 가져오고 해당하는 사용자 이름과 비밀번호를 입력하여 연결합니다.

계정 1: VPN 클라이언트는 VPN 서버를 통해 프록시 인터넷 액세스를 구현합니다;

연결에 성공하면 서버가 VPN 클라이언트에 10.10.10.11 IP 주소를 할당합니다. 클라이언트가 8.8.8.8에 액세스할 때 첫 번째 홉은 VPN 터널입니다. 데이터가 암호화되어 있기 때문에 해당 IP 주소를 확인할 수 없습니다. 두 번째 홉은 VPN 서버의 기본 게이트웨이이며 클라이언트의 모든 데이터는 VPN 터널을 통과하여 프록시 인터넷 액세스를 실현합니다.

인사이트 -->VPN 상태-->SSL VPN으로 이동하면 클라이언트 연결에 대한 정보도 여기에 표시됩니다.

계정 2:  VPN 클라이언트는 VLAN 20에만 액세스가 가능하며, VLAN 30에 액세스할 수 없습니다.

연결에 성공하면 서버는 VPN 클라이언트에 10.10.10.12 IP 주소를 할당합니다. VPN 클라이언트는 VLAN 20 (192.168.20.100)의 장치를 핑(Ping)할 수 있지만, VLAN 30 (192.168.30.100)의 장치를 핑(Ping)할 수 없습니다. 동시에 라우터의 관리 인터페이스는 192.168.20.1를 통해 액세스할 수 있습니다.

계정 3: VPN 클라이언트 및 서버 뒤의 장치는 ICMP 프로토콜을 통해서만 상호작용을 할 수 있습니다. 

연결에 성공하면 서버는 VPN 클라이언트에 10.10.10.13 IP 주소를 할당합니다. VPN 클라이언트는 VLAN 20(192.168.20.100)의 장치 및 VLAN 30 (192.168.30.100)의 장치를 핑(Ping)할 수 있지만 라우터의 관리 인터페이스는 192.168.20.1을 통해 액세스할 수 없습니다.

각 기능 및 구성에 대한 자세한 내용을 확인하려면 다운로드 센터로 이동하여 제품 매뉴얼을 다운로드하세요.