กำหนดให้ SSLVPN Client Access เข้า Server ด้วย Virtual IP ที่แจกให้ Client

บทความนี้อธิบายวิธีกำหนดให้ SSL VPN Client Access เข้าถึง Server ภายในโดยใช้ Virtual IP ที่แจกให้ Client แทน IP ของตัว NGAF เหมาะสำหรับกรณีที่ Server ต้องการทราบ IP ต้นทางจริงของ VPN User

ข้อกำหนดเบื้องต้น

• ตั้งค่า SSL VPN และ Virtual IP Pool บน NGAF/NSF เรียบร้อยแล้ว
• VPN User สามารถเชื่อมต่อ SSL VPN ได้ปกติ

ขั้นตอนการตั้งค่า

1. ตรวจสอบ Virtual IP Pool ที่แจกให้ Client โดยไปที่ Network > SSL VPN > Virtual IP Pool จดช่วง IP ที่กำหนดไว้

2. ทำ Route ที่ Core Switch หรืออุปกรณ์ Network อื่น ๆ ให้ IP ในช่วง Virtual IP Pool กลับมาที่ตัว NGAF/NSF (สำคัญมาก หากไม่ทำ Return traffic จะไม่กลับมาที่ VPN Client)

3. เปลี่ยน Access Mode ใน Resource Options โดยไปที่ Network > SSL VPN > Resource Options > ในส่วน L3VPN Resource Access Settings เปลี่ยน Access Mode เป็น Take virtual IP address as source

4. คลิก Save เพื่อบันทึกการตั้งค่า

ความแตกต่างระหว่าง Access Mode

• Take device IP address as source (ค่าเริ่มต้น) — Server จะเห็น Source IP เป็น IP ของ NGAF ทำให้ไม่สามารถแยก Traffic ของแต่ละ VPN User ได้
• Take virtual IP address as source — Server จะเห็น Source IP เป็น Virtual IP ของแต่ละ VPN User ทำให้สามารถระบุตัวตนและทำ Access Control ได้

หมายเหตุ

• ต้องแน่ใจว่า Route สำหรับ Virtual IP Pool กลับมาที่ NGAF ถูกตั้งค่าบน Core Switch หรือ Router อย่างถูกต้อง มิฉะนั้น Client จะไม่ได้รับ Response
• ฟีเจอร์นี้ใช้ได้กับ L3VPN (TCP Application) เท่านั้น