ข้ามไปยังเนื้อหาหลัก

วิธีตั้งค่า SSL VPN ที่ Virtual NGAF ใน MCS

ปรับปรุงเมื่อ

1. เข้าไปยัง Tenant กดตรวจสอบ License SSL VPN Users ที่ NGAF โดย license จะระบุว่าสามารถใช้งาน SSLVPN ได้กี่ Concurrent User

 

2. กด Web Console ที่ Virtual NGAF เพื่อเข้าไป Manage ตัว Firewall

- ไปที่ Network > Interfaces เพื่อตรวจสอบ ขา lan และ wan เพื่อนำมาตั้งค่า ssl vpn

3. ไปที่ Network > SSLVPN > Deployment

เลือก Single-Arm 

เลือก LAN Interface เป็นขา LAN Zone (eth2)

กด OK เพื่อ Save

และ กด Start SSLVPN service

- หากไม่พบหน้า SSLVPN ให้ตรวจสอบ Quota ที่ข้อที่ 1 ว่าได้มีให้ License ไว้หรือไม่ จะต้องเป็นตัวเลข เช่น 1 หรือมากกว่า

 

4. สร้าง Resource แบบ L3VPN

- กรอกชื่อ Resource, เลือก Type/Protocol ตามภาพ และกรอก IP Range ที่ต้องการเรียกใช้งานได้

 

5. สามารถสร้าง Group User ขึ้นมา และสร้าง User ใน Group เพิ่มได้ตามต้องการ

- สร้าง User ใหม่ขึ้นมา โดยกรอก Username Passwod และ Assign เข้ากับ Role (หากไม่มี Role สามารถสร้างได้)

 

6. สร้าง Role ขึ้นมา

- ตรวจสอบที่หน้า Role จะพบการ assign role ไว้เรียบร้อย

Role สามารถเชื่อมได้กับทั้ง User และ Group (หากเชื่อมกับ Group แล้ว ตัว User ใต้ Group จะได้รับสิทธิ์ตามไปด้วย)

 

7. ไปที่หน้า Login Options และตรวจสอบ Port HTTPS จะมี Default เป็น 4430 เป็นหน้าที่ไว้เรียก Service SSLVPN จากภายนอก

- หากเป็นการเรียก Port SSLVPN ผ่าน Web ครั้งแรกจะมีให้ Download Agent สำหรับใช้ VPN (EasyConnect)

 

8. ตรวจสอบ Virtual IP Pool จะมี IP Default มาให้อยู่แล้ว

mceclip7.png

 

9. ไปที่ External Gateway (VPC Gateway) กด Setting เพื่อกำหนด DNAT Rule สำหรับเรียกหน้า Login SSLVPN

ตั้งค่า DNAT Rule

-กำหนด EIP - Public IP ที่ใช้เรียก

-กำหนด Protocol - TCP

-กำหนด Port ปลายทาง - Port 4430 หรือ Port อื่นหากมีการเปลี่ยนในข้อ 7

Translated Data Packet

-internal IP เลือก Specified กำหนด IP Management ของ NGAF จากด้านซ้ายของหน้า โดยจะเป็นวง 172.31.0.x

-Mapped Port 4430 หรือ Port อื่นหากมีการเปลี่ยนในข้อ 7

 

ตรวจสอบ ACL ที่ vRouter ต้อง allow ดังรูป

 

 

10. ทดสอบเรียกด้วย Public IP ตามด้วย Port 4430 ด้วย HTTPS จะพบหน้า Login SSLVPN

 

- สำหรับ Virtual NGAF 8.0.17 ที่เป็น Versionเก่าจะไม่สามารถเรียกได้ด้วย Browser ใหม่เมื่อทดสอบเปิดหน้า Web SSLVPN (ปัจจุบันเป็น 8.0.26 แล้วซึ่งสามารถเข้าใช้งานได้ปกติ)

remark: ในกรณี เปิดด้วย browser chrome หรือ browser อื่นๆ ไม่ได้ ให้เปิดด้วย IE

และถ้าไม่มี IE ให้เปิดผ่าน microsoft edge จะมี setting ดังนี้

setting>Default browser>Allow sites to be reloaded in Internet Explorer mode (IE mode)>Add site web ssl vpn

mceclip15.png

mceclip16.png

 

11. หากยังไม่มี Program EasyConnect สามารถกด Download Client ได้

 

12. หากใช้ MacOS/Linux แล้ว Download ไม่ได้ให้กด F12 > Network เพื่อดู URL ที่เรียกตอนที่กด Download แล้วนำไปกรอกที่ Browser เองเพื่อ Download ไฟล์ติดตั้ง

 

 

 

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น