บทความนี้อธิบายวิธีตั้งค่า SSL VPN Resource แบบ TCP Application, L3VPN และ Resource Group บน Sangfor NGAF/NSF เพื่อให้ Remote User เข้าถึงทรัพยากรภายในองค์กร
ประเภทของ SSL VPN Resource
NGAF รองรับ 3 ประเภทของ Resource:
- TCP Application: สำหรับเข้าถึง Application แบบ TCP เช่น HTTP, RDP, SSH, VNC, FTP, Telnet
- L3VPN: สำหรับเข้าถึง Intranet Resource แบบ Full Network Access รองรับ TCP/UDP/ICMP
- Resource Group: จัดกลุ่ม Resource เพื่อง่ายต่อการจัดการ
การสร้าง TCP Application Resource
1. ไปที่ Network > SSL VPN > Resources กด Add > TCP Application
2. กำหนดค่า:
- Name: ตั้งชื่อ Resource
- Type: เลือกประเภท — HTTP, RDP, SSH, VNC, FTP, Telnet หรือ Other
- Address: IP, Domain Name หรือ IP Range ของ Internal Server
- Port: Port ของ Application
- Program Path: Path ของ Client Application (สำหรับ C/S App)
- Enable resource: เปิดใช้งาน
- Visible for user: แสดงให้ User เห็นบน Portal
3. สำหรับ HTTP Type สามารถตั้ง URL Access Control (Whitelist/Blacklist) เพิ่มเติม
4. กด OK
การสร้าง L3VPN Resource
L3VPN ให้ User เชื่อมต่อเสมือนอยู่ในเครือข่ายเดียวกัน — Client จะได้รับ Virtual IP จาก NGAF
1. ไปที่ Network > SSL VPN > Resources กด Add > L3VPN
2. กำหนดค่า:
- Name: ตั้งชื่อ
- Protocol: TCP
- Address: IP หรือ Subnet ของ Internal Network
- Port: Port ที่อนุญาต
3. กด OK
การตั้งค่า L3VPN Resource Options
ไปที่ Network > SSL VPN > Resource Options เพื่อกำหนด L3VPN Access Settings:
-
Access Mode:
- Take device IP address as source: Server เห็น NGAF IP เป็น Source
- Take virtual IP address as source: Server เห็น Virtual IP ของ User เป็น Source
- Transfer Protocol: TCP หรือ Auto
- UDP Port: 440 (ค่าเริ่มต้น, ช่วง 1-65535)
- Advanced Options > IP of Local Virtual Adapter: ค่าเริ่มต้น 1.1.1.1 - 1.1.1.254
การสร้าง Resource Group
1. ไปที่ Network > SSL VPN > Resources กด Add > Resource Group
2. กำหนด Name, Description, Display Options (Icons หรือ Text) แล้วเพิ่ม Resource เข้ากลุ่ม
3. สามารถ Import/Export Resource ผ่าน CSV (สูงสุด 50 รายการ, ไม่เกิน 1MB)
การ Assign Resource ให้ Role
หลังสร้าง Resource แล้ว ต้อง Assign ให้ Role เพื่อให้ User เข้าถึงได้:
1. ไปที่ Network > SSL VPN > Roles กด Add
2. กำหนด:
- Name: ชื่อ Role
- Assigned To: เลือก User หรือ Group
- Associated Resources: เลือก Resource ที่ต้องการ
- Enable Role: เปิดใช้งาน
3. สามารถ Generate Privilege Report เป็น CSV แบบ User-based หรือ Resource-based
Virtual IP Pool
L3VPN ต้องตั้ง Virtual IP Pool ที่ Network > SSL VPN > Virtual IP Pool:
- กำหนด Start IP ถึง End IP แล้ว Assign ให้ User/Group
- IP ต้องไม่ซ้อนกับ Intranet Segment หรือ Interface IP
- แนะนำใช้ IP ที่ไม่ค่อยใช้งาน เช่น 2.x.x.x — หลีกเลี่ยง 192.168.x.x
SSL VPN Deployment Mode
ตั้งค่าที่ Network > SSL VPN > Deployment มี 2 โหมด:
- Gateway Mode: NGAF มีทั้ง LAN และ WAN Interface — User เชื่อมต่อจาก WAN ตรงมายัง NGAF (Standard)
- Single-Arm Mode: NGAF มีเฉพาะ LAN Interface — ต้องมี Front-end Device (Router/Firewall) Port-forward SSL VPN Traffic มายัง NGAF
Login Options
ตั้งค่าที่ Network > SSL VPN > Login Options:
- HTTPS Port: ค่าเริ่มต้น 4430 (User เชื่อมต่อ https://vpn.company.com:4430)
- Idle Timeout: 5-43,200 นาที — ตัดการเชื่อมต่อเมื่อไม่มี Activity
- SSL/TLS Options: เปิด/ปิด SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2 แยกได้
- Defense Against MITM Attack: ป้องกัน Man-in-the-Middle
- Host Header Attack Defense: ป้องกัน Host Header manipulation
หมายเหตุ
- TCP Application ไม่รองรับ File Sharing Type — ใช้ L3VPN หรือ TCP Resource ชี้ไปที่ SMB Port 445 แทน
- TCP Application และ L3VPN ต้องใช้ Easy Connect Client — Driver/Plug-in จะติดตั้งอัตโนมัติเมื่อ Login ครั้งแรก (User ต้องมี Admin Rights, ปิด Antivirus ก่อน)
- User เห็นเฉพาะ Resource ที่ถูก Assign ผ่าน Role เท่านั้น
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น