บทความนี้อธิบายวิธีตั้งค่า SSL VPN Full Tunnel บน Sangfor NGAF/NSF เพื่อให้ User ที่ VPN เข้ามาสามารถออก Internet ผ่าน Firewall ขององค์กรได้
Concept
ปกติ SSL VPN จะเข้าถึงได้เฉพาะ Resource ภายใน แต่ Full Tunnel จะส่ง Traffic ทั้งหมด (รวม Internet) ผ่าน Firewall เพื่อให้องค์กรควบคุม Security Policy ของ User ที่อยู่ภายนอกได้
สิ่งที่ต้องเตรียม
- ตั้งค่า SSL VPN (Clients to Site) ให้ใช้งานได้แล้ว
- มี SNAT Policy สำหรับ VPN Zone ออก WAN
- มี Application Control Policy อนุญาต VPN Zone ไป WAN Zone
ขั้นตอนที่ 1: สร้าง L3VPN Resource สำหรับ Public IP Range
ไปที่ Network > SSL VPN > Resources > Add > L3VPN App
- Type: Other
- Protocol: All
- กด Add Multiple Addresses แล้วกรอก Public IP Range (หลีกเลี่ยง Private IP) พร้อม Port
1:65535
ตัวอย่าง Address:
1.0.0.1-9.9.9.254/1:65535
11.0.0.1-171.15.255.254/1:65535
172.17.255.254-192.167.255.254/1:65535
192.169.255.254-223.255.255.254/1:65535ขั้นตอนที่ 2: กำหนด Role ให้ User
ไปที่ Network > SSL VPN > Roles
- เลือก User/Group ที่ต้องการ
- เลือก Resource ที่สร้างในขั้นตอนที่ 1
ขั้นตอนที่ 3: เพิ่ม SSL VPN Zone
ไปที่ Network > Zone ตรวจสอบว่ามี Zone สำหรับ SSL VPN แล้ว:
-
NSF: ชื่อ Zone คือ
ssltun -
NGAF: ชื่อ Zone คือ
vpntun
ขั้นตอนที่ 4: สร้าง SNAT Policy
ไปที่ Policies > NAT > SNAT > Add
- Source Zone: SSL VPN Zone
- Destination Zone: WAN Zone
- Translate Src IP: Outbound Interface IP
ขั้นตอนที่ 5: ทดสอบ
Login SSL VPN ผ่าน Easy Connect แล้วทดสอบเปิด Website — Traffic จะออก Internet ผ่าน Firewall และแสดง Log ใน Session Logs
หมายเหตุ
- หลังสร้าง Zone ใหม่ ต้องตรวจสอบ Application Control Policy ว่าอนุญาต SSL VPN Zone ไป WAN Zone
- Address ที่กรอกจะหลีกเลี่ยง Private IP Range (10.x, 172.16-31.x, 192.168.x) เพื่อไม่ให้ชนกับ Resource ภายใน
- การทำ Full Tunnel จะเพิ่ม Load บน Firewall เนื่องจาก Traffic ทั้งหมดจะผ่าน VPN
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น