*บทความนี้สำหรับ NGAF v8.0.35 และใหม่กว่า
Quick Concept
1. สร้าง Resource ว่าเป็น IP หรือ IP Range อะไรบ้าง (ข้อ 3)
2. สร้าง Local User สำหรับ VPN (ข้อ 6)
3. สร้าง Role ว่าสามารถเข้าถึง Resource อะไรได้บ้าง และผูกกับ User (ข้อ 7)
4. ตั้งค่า Application Control จาก All Zone แต่กำหนดเป็น Source IP Range VPN เช่น 2.0.1.0/24 ไปยัง Destination ที่ต้องการใช้งาน
Topology
Requirement
User จากอินเทอร์เน็ตต้องการใช้งาน Network ผ่านในขององค์กร 192.168.15.0/24
NGAF: WAN interface 10.1.129.102 และ LAN interface 192.168.15.89
Configuration
0. ไปที่ Network > SSLVPN > Online Users > กด Start SSL VPN Service
1. Network > SSLVPN > Deployment
เลือก LAN และ WAN interface ของ NGAF
2. SSL VPN > Login Options เลือก Service Port (เลือก Port สำหรับเข้าใช้SSL VPN) และกด OK เพื่อยืนยัน
3.Network > SSLVPN > Resource > Add > L3VPN App
4.เลือก Type ของ service และ Protocol ที่ต้องการให้ Client ใช้งาน
ถ้าหากต้องการให้ใช้ทุก Service ให้เลือก Type: Others และ Protocol: All
5.คลิกเครื่องหมาย + และทำการ configure IP ที่ต้องการให้ Client ใช้งาน
6. Network > SSLVPN > Users กดAdd User และกรอกข้อมูลของบัญชี SSL VPN นี้
7.Network > SSLVPN > Roles (กำหนดว่า User ใช้ Resource ใดได้บ้าง)
7.1 กำหนดชื่อ Role
7.2 เลือก User ที่ต้องการให้ใช้งาน
7.3 เลือก Resource ที่ต้องการให้ user ใช้งาน
8.Network > SSLVPN > Virtual IP Pool
ทำการ Configure IP ที่จะแจกให้กับ Client เมื่อมีการ Connect VPN แล้ว
9.ทดสอบ โดยใช้ Network ภายนอกเช่น 4G แล้วทำการเรียก IP WAN ตามด้วย port ที่เซ็ตไว้
หาก NGAF ไม่แจ้ง Pop-up ให้ดาวน์โหลดโปรแกรมอัตโนมัติ สามารถคลิกตามกรอบสีแดง (ถ้าติดตั้งแล้วจะไม่ขึ้นหน้าให้ download ซ้ำ)
เพิ่มเติม
- หากต้องการให้ User ที่ SSL VPN เข้ามาใช้งาน Local DNS ให้เซ็ตที่ SSL VPN > Local DNS
สามารถforce ให้userใช้Local DNS ได้โดยการเลือกที่ Client PC uses the above DNS servers
หากไม่ใช้ Local DNS จะไม่สามารถresolve domain name ภายในได้
- หากไม่สามารถเรียก Resource ได้ โดยที่ตั้งค่าถูกแล้วให้ทดลองสร้าง Application Control Policy ขึ้นมา
กำหนดให้ source any zone, VPN IP range (จากข้อ8), destination any zone, any ip, allow แล้วลองทดสอบอีกครั้ง
- Default SSLVPN จะตั้ง Idle Timeout อยู่ที่ 5 นาที สามารถตั้งค่าให้Threashold สูงขึ้นได้ เช่น 30นาที
- หากใช้งาน NSF 8.0.85 ขึ้นไปแล้วตั้งค่าตามคู่มือแล้วแต่ไม่สามารถเรียก Resource ภายในได้ให้ทำการปรับ Route Priority ของ SSL VPN Tunnel ให้ขึ้นมาอยู่เหนือ Policy-Based Route
การตั้งค่า Route Priority
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น