如何在 Omada 路由器的獨立模式下建立 SSL VPN Server?

使用者應用程式需求
更新10-11-2022 01:45:33 AM 29947
這篇文章適用於: 

用戶端情境

 

SSL VPN 可以設定每個使用者存取資源的權限,以提升對整個網路的管理。依據如下拓樸,在 SSL VPN server 下建立三個不同權限的帳戶以滿足不同的需求。

 

帳戶1:VPN 用戶端透過 VPN Server 執行代理上網服務;

帳戶2:VPN 用戶端只能訪問 VLAN 20,不能訪問 VLAN 30;

帳戶3:VPN 用戶端與 Server 後端的設備,只能透過 ICMP 協定互通。

設定

步驟 1. 建立 VPN IP Pool

 

當 VPN  用戶端連線時,VPN server 會由 VPN IP Pool 分配一個虛擬 IP 位址。在 Preferences --> VPN IP Pool,點擊 Add。

 

在該頁面中,將 IP Pool Name 命名為 SSL_VPN,Starting IP Address 設定為 10.10.10.10,Ending IP Address 設定為 10.10.10.100,完成後點擊 OK 儲存設定。可依照您的需求進行設定。

 

步驟 2. 啟用 SSL VPN Server

在 SSL VPN -->SSL VPN Server,勾選 Enable。將 Service Port 指定為 WAN/LAN4,Virtual IP Pool 選擇步驟1建立的 SSL_VPN。Primary DNS 設定為 8.8.8.8 (可依您的需求自行調整),完成後點擊 Save 儲存設定。

 

步驟 3. 建立 Tunnel Resources

在 SSL VPN -->Resource Management-->Tunnel Resources,點擊 Add 建立兩個 tunnel resources。AllowVLAN20 使用 IP 位址界定 resources;AllowICMP 使用 ICMP 協定界定 resources。

 

步驟 4. 建立 Resource Group

在 SSL VPN -->Resource Management-->Resource Group,點擊 Add 各別建立兩個不同的 Resource Group,並套用步驟3所建立的 tunnel resources。

註:有兩個預設的 resource groups Group_LAN 和 Group_ALL。Group_LAN 是指在 Server 後端的所有設備,而 Group_ALL 包含存取網路的 resources。

 

步驟 5. 建立 User Group

在 SSL VPN -->User Management-->User Group,點擊 Add 建立3個使用者群組。依照3個不同權限的帳戶,分配不同的 resource groups給3個使用者群組。如要實現用戶端的代理上網服務,請將 resource group 選擇為 Group_ALL。

 

步驟 6. 建立使用者

在 SSL VPN -->User Management-->User,點擊 Add 建立3個使用者帳戶。每個帳戶對應不同的使用者群組,並依您的需求設定用戶名稱及密碼。

在此我們根據上述3個帳戶的resource權限,建立了3個使用者帳戶資訊:

 

步驟 7. 匯出憑證

在 SSL VPN -->SSL VPN Server,點擊 Export Certificate 匯出設定檔,用戶端可透過此設定檔連接至 Server。

 

驗證程序

在用戶端使用 OpenVPN GUI 匯入設定檔,並輸入對應的帳戶名稱及密碼來連線。

帳戶 1:VPN 用戶端透過 VPN Server 執行代理上網服務;

連線成功後,Server端會分配 IP 位址 10.10.10.11 給 VPN 用戶端。當用戶端訪問 8.8.8.8 時,第一段點為 VPN Tunnel,因數據是經過加密的,因此無法解析出對應的 IP 位址。第二段點為 VPN Server 的預設閘道,用戶端的所有數據都經由 VPN Tunnel 實現代理上網服務。

在 SSL VPN -->Status,可檢視用戶端的連線資訊。

 

帳戶 2:VPN 用戶端只能訪問 VLAN 20,不能訪問 VLAN 30

連線成功後,Server 分配 IP 位址 10.10.10.12 給 VPN 用戶端VPN 用戶端可 ping 屬於 VLAN 20 的設備(192.168.20.100),但無法 ping 屬於 VLAN 30 的設備(192.168.30.100)。同時,可透過 192.168.20.1 管理路由器 interface。

 

 

帳戶 3:VPN 用戶端與 Server 後端的設備,只能透過 ICMP 協定互通

連線成功後,Server 分配 IP 位址 10.10.10.13 給 VPN 用戶端。VPN 用戶端可 ping 屬於 VLAN 20 的設備(192.168.20.100) 以及屬於 VLAN 30 的設備(192.168.30.100)。但無法透過 192.168.20.1 管理路由器 interface。

 

了解更多相關功能及設定,請至 下載中心 下載您的產品手冊。

相關 FAQ

更多相關文章

這篇faq是否有用?

您的反饋將幫助我們改善網站

推薦產品

來自 United States?

取得您的地區產品、活動和服務。