如何在 Omada 路由器的獨立模式下建立 SSL VPN Server？

用戶端情境

SSL VPN 可以設定每個使用者存取資源的權限，以提升對整個網路的管理。依據如下拓樸，在 SSL VPN server 下建立三個不同權限的帳戶以滿足不同的需求。

帳戶1：VPN 用戶端透過 VPN Server 執行代理上網服務；

帳戶2：VPN 用戶端只能訪問 VLAN 20，不能訪問 VLAN 30；

帳戶3：VPN 用戶端與 Server 後端的設備，只能透過 ICMP 協定互通。

設定

步驟 1. 建立 VPN IP Pool

當 VPN  用戶端連線時，VPN server 會由 VPN IP Pool 分配一個虛擬 IP 位址。在 Preferences --> VPN IP Pool，點擊 Add。

在該頁面中，將 IP Pool Name 命名為 SSL_VPN，Starting IP Address 設定為 10.10.10.10，Ending IP Address 設定為 10.10.10.100，完成後點擊 OK 儲存設定。可依照您的需求進行設定。

步驟 2. 啟用 SSL VPN Server

在 SSL VPN -->SSL VPN Server，勾選 Enable。將 Service Port 指定為 WAN/LAN4，Virtual IP Pool 選擇步驟1建立的 SSL_VPN。Primary DNS 設定為 8.8.8.8 (可依您的需求自行調整)，完成後點擊 Save 儲存設定。

步驟 3. 建立 Tunnel Resources

在 SSL VPN -->Resource Management-->Tunnel Resources，點擊 Add 建立兩個 tunnel resources。AllowVLAN20 使用 IP 位址界定 resources；AllowICMP 使用 ICMP 協定界定 resources。

步驟 4. 建立 Resource Group

在 SSL VPN -->Resource Management-->Resource Group，點擊 Add 各別建立兩個不同的 Resource Group，並套用步驟3所建立的 tunnel resources。

註：有兩個預設的 resource groups Group_LAN 和 Group_ALL。Group_LAN 是指在 Server 後端的所有設備，而 Group_ALL 包含存取網路的 resources。

步驟 5. 建立 User Group

在 SSL VPN -->User Management-->User Group，點擊 Add 建立3個使用者群組。依照3個不同權限的帳戶，分配不同的 resource groups給3個使用者群組。如要實現用戶端的代理上網服務，請將 resource group 選擇為 Group_ALL。

步驟 6. 建立使用者

在 SSL VPN -->User Management-->User，點擊 Add 建立3個使用者帳戶。每個帳戶對應不同的使用者群組，並依您的需求設定用戶名稱及密碼。

在此我們根據上述3個帳戶的resource權限，建立了3個使用者帳戶資訊：

步驟 7. 匯出憑證

在 SSL VPN -->SSL VPN Server，點擊 Export Certificate 匯出設定檔，用戶端可透過此設定檔連接至 Server。

驗證程序

在用戶端使用 OpenVPN GUI 匯入設定檔，並輸入對應的帳戶名稱及密碼來連線。

帳戶 1：VPN 用戶端透過 VPN Server 執行代理上網服務；

連線成功後，Server端會分配 IP 位址 10.10.10.11 給 VPN 用戶端。當用戶端訪問 8.8.8.8 時，第一段點為 VPN Tunnel，因數據是經過加密的，因此無法解析出對應的 IP 位址。第二段點為 VPN Server 的預設閘道，用戶端的所有數據都經由 VPN Tunnel 實現代理上網服務。

在 SSL VPN -->Status，可檢視用戶端的連線資訊。

帳戶 2：VPN 用戶端只能訪問 VLAN 20，不能訪問 VLAN 30

連線成功後，Server 分配 IP 位址 10.10.10.12 給 VPN 用戶端。VPN 用戶端可 ping 屬於 VLAN 20 的設備(192.168.20.100)，但無法 ping 屬於 VLAN 30 的設備(192.168.30.100)。同時，可透過 192.168.20.1 管理路由器 interface。

帳戶 3：VPN 用戶端與 Server 後端的設備，只能透過 ICMP 協定互通

連線成功後，Server 分配 IP 位址 10.10.10.13 給 VPN 用戶端。VPN 用戶端可 ping 屬於 VLAN 20 的設備(192.168.20.100) 以及屬於 VLAN 30 的設備(192.168.30.100)。但無法透過 192.168.20.1 管理路由器 interface。

了解更多相關功能及設定，請至 下載中心 下載您的產品手冊。