วิธีเข้าใช้งาน Public URL ที่บังคับ Source IP ผ่าน SSL VPN (L3VPN + SNAT)

บทความนี้อธิบายวิธีตั้งค่า SSL VPN เพื่อให้ User เข้าใช้งาน Public Domain หรือ URL ที่บังคับใช้ Source IP ของ Firewall ที่กำหนด โดยใช้ L3VPN App และ SNAT

Use Case

บางเว็บไซต์กำหนดให้เฉพาะ IP ต้นทางที่ระบุไว้เท่านั้นจึงจะเข้าถึงได้ (IP Whitelisting) เมื่อ User เชื่อมต่อ SSL VPN แล้วเข้าเว็บไซต์เหล่านี้ Traffic จะต้องออกจาก WAN IP ของ NGAF จึงจะผ่านได้

ขั้นตอนที่ 1: สร้าง L3VPN Resource

ไปที่ Network > SSL VPN > Resources แล้วเลือก L3VPN App

1. ตั้ง Type: Other
2. ตั้ง Protocol: All

3. กำหนด IP/Domain: ใส่ URL หรือ IP ปลายทาง
4. กำหนด Port: 443 หรือ Port ที่ใช้งาน

ขั้นตอนที่ 2: กำหนด Role ให้ User

ไปที่ Network > SSL VPN > Roles

1. กำหนด User/Group: เลือก User หรือ Group ที่ต้องการ
2. กำหนด Resource: เลือก L3VPN Resource ที่สร้างไว้

ขั้นตอนที่ 3: ตั้งค่า SNAT สำหรับ SSL VPN Traffic

ไปที่ Policies > NAT แล้วสร้าง SNAT Rule เพื่อให้ SSL VPN Traffic ออกไปคุยกับ URL/IP ปลายทางด้วย WAN IP ของ NGAF

ขั้นตอนที่ 4: ทดสอบ

Login SSL VPN ผ่าน Easy Connect แล้วเข้าใช้งาน URL ที่กำหนด — Traffic จะออกจาก WAN IP ของ NGAF ที่ปลายทางอนุญาตไว้

หมายเหตุ

• SNAT เป็นขั้นตอนสำคัญ — หากไม่ตั้ง SNAT Traffic ของ SSL VPN User จะออกด้วย Virtual IP ซึ่งปลายทางจะไม่อนุญาต
• ตรวจสอบว่า Application Control Policy อนุญาตให้ SSL VPN Traffic ออก WAN ได้
• L3VPN App ใช้สำหรับ Resource ที่เป็น IP/Domain เฉพาะ — หากต้องการ Full Tunnel ให้ใช้ L3VPN แบบ All Traffic แทน