如何透過 Omada 路由器建立 SSL VPN 伺服器（獨立管理模式）

使用者應用場景

SSL VPN 利用使用者名稱和密碼進行驗證和登入，網路管理員可分配不同資源到不同類型的使用者，同時使用多個來源連接使用者。透過 VPN 管理和限制使用者可存取的服務，讓管理更加輕鬆。依據下列網路拓樸，在 SSL VPN 伺服器上建立三個不同權限的帳號達到不同需求。

帳號 1：VPN 用戶端透過 VPN Server 執行 Proxy 上網服務；

帳號 2：VPN 用戶端只能存取 VLAN 20，不能存取 VLAN 30；

帳號 3：VPN 用戶端與 Server 後端的裝置，只能透過 ICMP 協定互通。

設定

步驟 1. 建立 VPN IP Pool

當 VPN  用戶端連線時，VPN 伺服器會由 VPN IP Pool 分配一個虛擬 IP 位址。在左側選單 Preferences --> VPN IP Pool，點擊 Add。

在該頁面中，將 IP Pool Name 命名為 SSL_VPN，Starting IP Address 設定為 10.10.10.10，Ending IP Address 設定為 10.10.10.100，完成後點擊 OK 儲存設定。可依照您的需求進行調整設定。

步驟 2. 啟用 SSL VPN 伺服器

在選單 SSL VPN --> SSL VPN Server，勾選 Enable。將 Service Port 指定為 WAN1（請依照實際情況選擇對應 WAN），Virtual IP Pool 選擇步驟 1 建立的 VPN Pool 。Primary DNS 設定為 8.8.8.8（可依您的需求自行調整），完成後點擊 Save 儲存設定。

步驟 3. 建立 Tunnel Resources

在選單 SSL VPN --> Resource Management --> Tunnel Resources，點擊 Add 建立兩個 Tunnel Resources。AllowVLAN20 使用 IP 位址來限制 Resources；AllowICMP 使用 ICMP 協定來限制 Resources。

步驟 4. 建立 Resource Group

在選單 SSL VPN --> Resource Management --> Resource Group，點擊 Add 分別建立兩個不同的 Resource Group，並套用步驟 3 所建立的 Tunnel Resources。

說明：有兩個預設的 Resource Group Group_LAN 和 Group_ALL。Group_LAN 是指在 Server 後端的所有裝置，而 Group_ALL 包含存取網路的 Resource。

步驟 5. 建立 User Group

在選單 SSL VPN --> User Management --> User Group，點擊 Add 建立 3 個使用者群組。依照 3 個不同權限的帳號，分配不同的 Resource Group 給 3 個使用者群組。如要實現用戶端的 Proxy 上網服務，請將 Resource Group 選擇為 Group_ALL。

步驟 6. 建立使用者

在 SSL VPN --> User Management --> User，點擊 Add 建立 3 個使用者帳號。每個帳號對應不同的使用者群組，並依您的需求設定用戶名稱及密碼。

在此我們依據上述 3 個帳號的 Rresource 權限，建立了 3 個使用者帳號資訊：

步驟 7. 匯出憑證

在選單 SSL VPN --> SSL VPN Server，點擊 Export Certificate 匯出設定檔，用戶端可透過此設定檔連接至VPN 伺服器。

驗證流程

在用戶端使用 OpenVPN GUI 匯入設定檔，並輸入對應的帳號名稱及密碼來連線。

帳號 1：VPN 用戶端透過 VPN 伺服器執行 Proxy 上網服務；

連線成功後，伺服器端會分配 IP 位址 10.10.10.11 給 VPN 用戶端。當用戶端存取 8.8.8.8 時，第一節點會為 VPN Tunnel，因資料是經過加密的，因此無法解析出對應的 IP 位址。第二節點為 VPN 伺服器的預設閘道，用戶端的所有資料都經由 VPN Tunnel 實現 Proxy 上網服務。

在 SSL VPN --> Status，可檢視用戶端的連線資訊。

帳號 2：VPN 用戶端只能存取 VLAN 20，不能存取 VLAN 30

連線成功後，伺服器分配 IP 位址 10.10.10.12 給 VPN 用戶端。VPN 用戶端可 Ping 屬於 VLAN 20 的設備（192.168.20.100），但無法 Ping 屬於 VLAN 30 的設備（192.168.30.100）。同時，可透過 192.168.20.1 管理路由器。

帳號 3：VPN 用戶端與伺服器後端的設備、裝置，只能透過 ICMP 協定通訊

連線成功後，伺服器分配 IP 位址 10.10.10.13 給 VPN 用戶端。VPN 用戶端可 Ping 屬於 VLAN 20 的設備（192.168.20.100）以及屬於 VLAN 30 的設備（192.168.30.100）。但無法透過 192.168.20.1 管理路由器。

要了解各項功能和設定的更多詳細資訊，請前往 檔案下載 下載您的產品的手冊。