通常有幾種情境會用到 SSL VPN 服務:
一是公司人員在公司外或海外出差,但是需要連線公司內部伺服器,如 ERP 或 File Server 檔案伺服器之類的取得公司網路資源;
二是人員在公司外或海外出差,需要存取某個綁定只能由公司外部固定 IP 才能存取的協力廠商網站;
三則是人在國外,想要存取一個目前所在地不提供的網路服務,例如目前 disney+ 尚未提供越南的服務,如果人在越南,想要連線 disney+ ,就可以透過 SSL VPN 連回台灣的防火牆來使用。
本文說明如何在 ZyXEL 防火牆設定 SSL VPN 供人員連線。
開頭說到的三種情境,除了第一種只需要存取內網資源,另外兩種則是需要存取外網資源,這部分會用到 Full Tunnel Mode 全通道模式,將所有網路流量都導向防火牆,再由防火牆送出。
第一種情境下則是僅提供需要的內網設備進行 SSL VPN 連線,其餘連線則由原本的 Internet 正常出去,這種連線方式較為節省頻寬資源。
環境:
防火牆:ZyXEL ATP500,韌體版本 V5.32(ABFU.0)
Notebook 作業系統:Windows 11
流程大綱:
1. 建立使用者帳號。
2. 建立使用者帳號群組。
3. 建立 SSL VPN 網段。
4. 設定 SSL VPN 服務。
5. PC 下載並安裝 SSL VPN 連線程式。
6. 連線 SSL VPN。
首先建立使用者帳號,[設定] > [物件] > [使用者/群組] > [使用者] > 使用者 [新增],輸入帳號與密碼,再按 [Save];這部分稍微注意一下,本機管理帳號是不能使用 SSL VPN 服務的,要建立在使用者那裏。
建立使用者帳號群組,[設定] > [物件] > [使用者/群組] > [群組] > [新增],輸入群組名稱,再將需要使用 SSL VPN 服務的使用者帳號自 [成員清單] 移至 [成員]。
建立 SSL VPN 使用的 IP 區段,[設定] > [物件] > [位址/GeoIP] > [位址] > [新增],輸入位址名稱,位址類型選擇 RANGE,然後填入 IP 資料;這部分特別注意,所使用的 IP 區段不可以與內網或外網等任何 interface 的子網路衝突。
建立 SSL VPN 存取規則,[設定] > [VPN] > [SSL VPN] > [存取權限] > [新增],輸入策略名稱,使用者/群組選擇剛剛建立的 SSL VPN 使用者群組,配置 IP 集區選擇剛剛建立的 SSL VPN 使用的 IP 區段,DNS 依需求填寫。
如果 SSL VPN 使用者只需要存取內網服務,則不要勾選 [強制所有用戶端流量進入 SSL VPN 通道] ,並且在最下方的網路表中選擇允許連線至哪些內網網段或位址。
如果 SSL VPN 使用者需要存取外網服務,則要勾選 [強制所有用戶端流量進入 SSL VPN 通道] ,並且在最下方的網路表中不選擇任何物件。
如果想讓 SSL VPN 使用者可以透過電腦名稱而不是只能透過 IP 進行連線至內網設備,則要勾選 [透過 SSL VPN 通道的 NetBIOS 廣播]。
以上完成防火牆端的設定,接下來下載並安裝 SSL VPN 連線工具。
到 ZyXEL 官網選擇下載中心,連結至文章下方提供。
搜尋 SecuExtender。
下載正確的連線工具,目前給 Windows 用的是 SSL_VPN_Client_4.0.4.0。
點擊 Download 下載。
下載完成,開啟檔案。
解壓縮。
在解壓好的資料夾中執行 SecuExtenderSetup.exe,啟動安裝程式。
安裝程式歡迎畫面,點擊 [Next >] 。
選擇捷徑位置。
選擇安裝位置。
準備進行安裝。
稍後片刻,等候安裝。
SecuExtender 安裝完成。
點擊 ZyWALL SecuExtender 圖示啟動 SSL VPN 連線程式。
輸入防火牆外網 IP 與帳號密碼,再點擊 [Connect],進行連線。
跳出憑證警示,因為使用自有憑證,所以跳出正常,點擊 [Yes]。
當出現下面畫面,就完成連線了,可以看到下方有流量紀錄,可以知道這次連線進行的流量有多少。
至此完成 ZyXEL 防火牆的 SSL VPN 設定與連線的全部流程。
ZyXEL SecuExtender VPN 客戶端官方網站:
ZyXEL SecuExtender VPN Client 客戶端官方下載點:
https://www.zyxel.com/tw/zh/support/download?model=secuextender-vpn-client
沒有留言:
張貼留言