×
ข้ามไปยังเนื้อหาหลัก

การสร้าง SSL VPN (Clients to Site) บน NGAF

ปรับปรุงเมื่อ

บทความนี้อธิบายวิธีตั้งค่า SSL VPN (Clients to Site) บน Sangfor NGAF v8.0.35 ขึ้นไป เพื่อให้ User จากภายนอกสามารถเข้าถึง Network ภายในองค์กรได้

Quick Concept

  1. สร้าง Resource — กำหนด IP/Port ที่ต้องการให้เข้าถึง
  2. สร้าง User — สร้างบัญชี VPN
  3. สร้าง Role — ผูก User กับ Resource
  4. ตั้งค่า Application Control — อนุญาต VPN IP Range ไปยัง Destination

ขั้นตอนที่ 1: เปิด SSL VPN Service

ไปที่ Network > SSL VPN > Online Users แล้วกด Start SSL VPN Service (หากเคยเปิดแล้วจะไม่มีปุ่มนี้)

ขั้นตอนที่ 2: ตั้งค่า Deployment

ไปที่ Network > SSL VPN > Deployment

  • เลือก LAN Interface และ WAN Interface

ขั้นตอนที่ 3: ตั้งค่า Login Options

ไปที่ SSL VPN > Login Options

  • กำหนด Service Port สำหรับการ Login (เช่น 443)
SSL VPN Login Options - HTTPS Port, SSL/TLS settings, WebAgent, Defense Against MITM

ขั้นตอนที่ 4: สร้าง Resource

ไปที่ Network > SSL VPN > Resources > Add > L3VPN App

  • Type: เลือกประเภท Service (หรือ Others + Protocol: All สำหรับทุก Service)
  • กด + แล้วกรอก IP ของ Server/Network ที่ต้องการให้เข้าถึง
SSL VPN Resources list - IP Address, Port, Type, Status

ขั้นตอนที่ 5: สร้าง User

ไปที่ Network > SSL VPN > Users > Add User

  • กรอก Username, Password และข้อมูลบัญชี
SSL VPN Local Users - Groups, Users, TOTP Dynamic Token

ขั้นตอนที่ 6: สร้าง Role

ไปที่ Network > SSL VPN > Roles > Add

  1. ตั้งชื่อ Role
  2. เลือก User/Group ที่สร้างในขั้นตอนที่ 5
  3. เลือก Resource ที่สร้างในขั้นตอนที่ 4

ขั้นตอนที่ 7: ตั้งค่า Virtual IP Pool

ไปที่ Network > SSL VPN > Virtual IP Pool

  • กำหนด IP Range ที่จะแจกให้ Client เมื่อ Connect VPN (เช่น 2.0.1.1-2.0.1.254)
  • Virtual IP ต้องไม่ซ้ำกับ IP วงภายในหรือ Interface IP — แนะนำใช้วงที่ไม่ค่อยใช้งาน เช่น 2.x.x.x

ขั้นตอนที่ 8: ทดสอบ

ใช้ Network ภายนอก (เช่น 4G) เรียก https://WAN_IP:Port แล้ว Login ด้วย User ที่สร้างไว้ — ระบบจะให้ดาวน์โหลด Easy Connect สำหรับเชื่อมต่อ

Add Local User - Virtual IP, Authentication, Roles

หมายเหตุ

  • หากเข้า Resource ไม่ได้ ให้สร้าง Application Control Policy อนุญาต Source: VPN IP Range ไปยัง Destination ที่ต้องการ
  • Default Idle Timeout คือ 5 นาที — สามารถปรับได้ที่ SSL VPN > Login Options (ตั้งได้ 5-43,200 นาที)
  • Default HTTPS Port คือ 4430 — เปลี่ยนได้ที่ Login Options
  • Deployment Mode มี 2 แบบ: Gateway Mode (LAN+WAN) และ Single-Arm Mode (LAN เท่านั้น ออก Internet ผ่านอุปกรณ์อื่น)
  • รองรับ Secondary Authentication: Hardware ID (ผูกอุปกรณ์) และ TOTP
  • หากต้องการ Resolve Domain Name ภายใน ให้ตั้งค่า SSL VPN > Local DNS
  • สำหรับ NSF 8.0.85 ขึ้นไป หากเรียก Resource ไม่ได้ ให้ปรับ Route Priority ของ SSL VPN Tunnel ให้อยู่เหนือ PBR

เกี่ยวข้องกับ

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น