독립 실행형 모드의 Omada 라우터에서 SSL VPN 서버를 구축하는 방법
사용자 애플리케이션 시나리오
SSL VPN은 각 사용자가 리소스에 액세스할 수 있는 권한을 설정하고 전체 네트워크에 관리를 개선합니다. 다음 네트워크 토폴로지에 따라 SSL VPN 서버에서 서로 다른 권한을 가진 세 개의 계정을 생성하여 다양한 요구사항을 충족합니다.
계정 1: VPN 클라이언트는 VPN 서버를 통해 프록시 인터넷 액세스를 구현합니다;
계정 2: VPN 클라이언트는 VLAN 20에만 액세스할 수 있으며 VLAN 30에는 액세스할 수 없습니다;
계정 3: VPN 클라이언트와 서버 뒤의 장치는 ICMP 프로토콜을 통해서만 상호작용할 수 있습니다.
구성
1단계. VPN IP 풀 생성
VPN 클라이언트를 연결하기 위해 적용하면 VPN 서버가 VPN IP 풀에서 가져온 가상 IP 주소를 할당합니다. 환경설정 --> VPN IP 풀로 이동하여 추가를 클릭합니다.
팝업 페이지에서 IP 풀 이름을 SSL_VPN으로 지정하고 시작 IP 주소를 10.10.10.10으로, 종료 IP 주소를 10.10.10.100으로 지정한 다음 OK(확인)를 클릭해 설정을 저장합니다. 네트워크에 따라 값을 설정할 수 있습니다.
2단계. SSL VPN 서버 활성화
SSL VPN -->SSL VPN 서버로 이동해 활성화를 체크합니다. 팝업 페이지에서 서비스 포트를 WAN/LAN4으로 선택하고, 가상 IP 풀을 1단계에서 생성한 SSL_VPN으로 선택합니다. 기본 DNS를 8.8.8.8 (필요에 따라 설정 가능)로 설정한 다음 저장을 클릭하여 설정을 저장합니다.
3단계. 터널 리소스 생성
SSL VPN -->리소스 관리-->터널 리소스로 이동하여 추가를 클릭해 2개의 터널 리소스를 생성합니다. 팝업 페이지에서 AllowVLAN20은 리소스를 제한하기 위해 IP 주소를 사용합니다; AllowICMP는 리소스를 제한하기 위해 ICMP 프로토콜을 사용합니다.
4단계. 리소스 그룹 생성
SSL VPN -->리소스 관리->리소스 그룹 으로 이동하여 추가를 클릭해 3단계에서 생성한 2개의 터널 리소스를 2개의 다른 리소스 그룹에 적용합니다.
참고: 2개의 기본 리소스 그룹인 Group_LAN 과 Group_ALL.이 있습니다. Group_LAN은 서버 뒤에 있는 모든 장치를 나타내며 Group_ALL은 인터넷 액세스를 위한 리소스도 포함됩니다.
5단계. 사용자 그룹 생성
SSL VPN -->사용자 관리-->사용자 그룹으로 이동하여 추가를 클릭해 3개의 사용자 그룹을 생성합니다. 3개의 계정에 각기 다른 권한에 따라 3개의 사용자 그룹에 다른 리소스 그룹을 적용합니다. 클라이언트의 프록시 인터넷 액세스를 구현하려면 리소스 그룹의 Group_ALL을 선택합니다.
6단계. 사용자 생성
SSL VPN -->사용자 관리-->사용자로 이동하여 추가를 클릭해 3개의 사용자 계정을 생성합니다. 각 계정은 서로 다른 사용자 그룹에 해당하며 필요에 따라 사용자 이름과 암호를 설정할 수 있습니다.
여기에서는 위 3개 계정의 리소스 권한을 기반으로 다음 3개의 계정 정보를 생성하였습니다:
7단계. 인증서 내보내기
SSL VPN -->SSL VPN 서버로 이동하여 인증서 내보내기를 클릭해 구성 파일을 내보내면 클라이언트가 구성 파일을 사용하여 서버에 연결할 수 있습니다.
인증 프로세스
클라이언트에서 OpenVPN GUI를 사용하여 구성 파일을 가져오고 해당하는 사용자 이름과 비밀번호를 입력하여 연결합니다.
계정 1: VPN 클라이언트는 VPN 서버를 통해 프록시 인터넷 액세스를 구현합니다;
연결에 성공하면 서버가 VPN 클라이언트에 10.10.10.11 IP 주소를 할당합니다. 클라이언트가 8.8.8.8에 액세스할 때 첫 번째 홉은 VPN 터널입니다. 데이터가 암호화되어 있기 때문에 해당 IP 주소를 확인할 수 없습니다. 두 번째 홉은 VPN 서버의 기본 게이트웨이이며 클라이언트의 모든 데이터는 VPN 터널을 통과하여 프록시 인터넷 액세스를 실현합니다.
SSL VPN -->상태로 이동하면 클라이언트 연결에 대한 정보도 여기에 표시됩니다.
계정 2: VPN 클라이언트는 VLAN 20에만 액세스가 가능하며, VLAN 30에 액세스할 수 없습니다.
연결에 성공하면 서버는 VPN 클라이언트에 10.10.10.12 IP 주소를 할당합니다. VPN 클라이언트는 VLAN 20 (192.168.20.100)의 장치를 핑(Ping)할 수 있지만, VLAN 30 (192.168.30.100)의 장치를 핑(Ping)할 수 없습니다. 동시에 라우터의 관리 인터페이스는 192.168.20.1를 통해 액세스할 수 있습니다.
계정 3: VPN 클라이언트 및 서버 뒤의 장치는 ICMP 프로토콜을 통해서만 상호작용을 할 수 있습니다.
연결에 성공하면 서버는 VPN 클라이언트에 10.10.10.13 IP 주소를 할당합니다. VPN 클라이언트는 VLAN 20(192.168.20.100)의 장치 및 VLAN 30 (192.168.30.100)의 장치를 핑(Ping)할 수 있지만 라우터의 관리 인터페이스는 192.168.20.1을 통해 액세스할 수 없습니다.
각 기능 및 구성에 대한 자세한 내용을 확인하려면 다운로드 센터로 이동하여 제품 매뉴얼을 다운로드하세요.
해당 FAQ가 유용했나요?
여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.