如何透過 Omada 路由器建立 SSL VPN 伺服器？（控制器模式）（控制器 V5.4 或以上）

使用者應用場景

SSL VPN 可以設定每個使用者可存取資源的權限並改善整個網路的管理。根據下列網路拓樸，在 SSL VPN Server 上建立三個不同權限的帳號達到不同需求。

帳號 1: VPN Client 透過 VPN Server 實現代理程式上網;

帳號 2: VPN Client 只能存取 VLAN 20，但無法存取 VLAN 30;

帳號 3: VPN Client 和 Server 後端的設備只能透過 ICMP 協定互通。

設定

步驟 1. 啟用 SSL VPN Server。

前往設定 -->VPN-->SSL VPN，啟用 SSL VPN Server。在此頁面上，選擇 WAN 作為 WAN/LAN4，在 虛擬 IP 範圍的欄位填入 10.10.10.10-10.10.10.100。主要 DNS 設定為 8.8.8.8 (您可以根據需求進行設定)，接著點擊套用儲存設定。

步驟 2. 建立隧道來源。

前往設定 -->VPN-->SSL VPN -->來源管理，點擊建立新的隧道來源建立兩條隧道來源。

在跳出的視窗中，AllowVLAN20 使用 IP 位址限制來源; AllowICMP 使用 ICMP Protocol 限制來源。

步驟 3. 建立來源群組。

前往設定 -->VPN-->SSL VPN -->來源管理，點擊建立新的來源群組將在步驟 2 建立的兩個通道來源套用在兩個不同來源群組中。

注意: 此處有兩個預設來源群組Group_LAN和Group_ALL。Group_LAN 是指 Server 後端所有內網設備，Group_ALL 則包含所有存取內網和外網的來源。

步驟 4. 建立使用者群組。

前往設定 -->VPN-->SSL VPN -->使用者群組，點擊頁面上的 “+”. 在頁面上，建立一個使用者群組，其來源群組屬於 Group_ALL。請注意若您想實作用戶端代理上網，來源群組請選擇 Group_ALL。

步驟 5. 建立使用者。

當完成設定時，使用者列表將自動出現在此頁。點擊建立新的使用者群組以建立對應至AllowALL使用者群組的使用者帳號。您可以根據需求設定使用者名稱和密碼。

步驟 6. 建立其他使用者。

重複步驟 4 和 5 建立 AllowVLAN20 和 AllowICMP 使用者群組，分別綁定對應使用者帳號至這兩個使用這群組。

設定完成後，建立的使用者資訊將顯示在使用者列表頁面上。

步驟 7. 匯出憑證。

前往SSL VPN -->SSL VPN Server，點擊匯出憑證匯出設定檔，用戶端可使用此設定檔連接至 server。

驗證流程

使用 client 上的 OpenVPN APP，匯入憑證，並輸入對應的使用者名稱和密碼進行連接。

帳號 1: VPN Client 透過 VPN Server 實現代理程式上網;

成功連線後，server 分配 VPN client 一個10.10.10.11的 IP 位址。當用戶端存取 8.8.8.8 時，第一個 hop 為 VPN Tunnel。由於數據受到加密，對應 IP 位址無法被解析。第二個 hop 為 VPN Server 的預設閘道，且所有通過 VPN Tunnel 的 client 數據將透過 VPN Tunnel 實現代理上網。

前往洞察 -->VPN 狀態-->SSL VPN，Client 連線相關資訊將顯示在此。

帳號 2: VPN Client 只能存取 VLAN 20，但無法存取 VLAN 30

在成功連線後，伺服器分配給 VPN client IP 位址10.10.10.12。VPN client 可以 ping VLAN 20 (192.168.20.100)中的設備，但無法 ping VLAN 30 (192.168.30.100)中的設備。與此同時，路由器的管理介面可透過 192.168.20.1 存取。

帳號 3: VPN Client 和 Server 後端的設備只能透過 ICMP 協定互動。

在成功連線後，server 分配給 VPN client IP 位址10.10.10.13。VPN client 可以 ping VLAN 20 (192.168.20.100)中的設備，以及 VLAN 30 (192.168.30.100)中的設備。但無法透過 192.168.20.1 存取路由器的管理介面。

了解更多功能詳情和設定，請至下載中心下載您的產品手冊。