Remote Access SSL VPN-Plus

Настройка сервера удаленного доступа SSL VPN-Plus

Технология SSL VPN-Plus позволяет предоставить защищенный доступ удаленным сотрудникам к облачному ЦОД. При этом имеется возможность предоставить доступ только к тем ресурсам, которые считаются необходимыми, даже если доступ производится с общедоступной машины, находящейся не под управлением компании.

Функционал SSL VPN доступен для настройки только в Edge Advanced mode.

Настройка сервера SSL VPN

1. На панели управления vDC: Datacenters -> Networking -> Edges выберите нужный Edge Gateway, и нажмите Services

2. В появившемся окне выберите вкладку SSL VPN Plus

2.1 Чтобы начать настройку SSL VPN Plus, перейдите на вкладку “Authentication”  для включения и настройки сервера аутентификации.

Для настройки сервера аутентификации нажмите [+LOCAL]

Откроется панель настройки политик паролей и аутентификации.

Authentication: Enable password policy - политика сложности паролей (рекомендуется);
Password Length - длина пароля (рек. от 10);
Minimum no. of alphabets/digits/special characters - мин. кол-во заглавных/чисел/спецсимволов;
Password should not contain user ID - запрет на использование логина пользователя в пароле;
Password expires in / Expiry notification in - срок действия пароля / предупреждение об истечении срока;

Enable account lockout policy - политика блокировки пользователя(рекомендуется);
Retry Count / Retry Duration - количество неудачных попыток ввода пароля на интервал времени;
Lockout Duration - длительность блокировки;
Status:Enabled - активация сервера аутентификации;

3. Настройки севера

На вкладке Server Settings настройте следующие параметры сервера:

IP4 address - внешний адрес для входящих соединений;
Port - порт вх. соединений(как правило, 443);
Cipher list - алгоритмы шифрования(рекомендуется AES);

 

4. IP-pools

На вкладке IP Pools вы задаете адреса выдаваемые подключаемым клиентам, эти IP-адреса должны находится в подсети, имеющей доступ к существующей среде. Эта подсеть пула не должна соответствовать сети vDC. Настройте следующие параметры сервера:

Создайте пул IP адресов для назначения клиентам VPN, нажав [+]
IP Pool:IP Range / Netmask / Gateway - Диапазон адресов, маска сети и адрес Edge Gateway,
Status:Enabled  - активация данного Pool'a.

Также вы можете указать в "Advanced"  DNS-сервера. 

5. Приватные сети:

Добавьте сеть облака, доступную для удаленных клиентов, нажав [+]
Эта подсеть должна включать адреса любых серверов, которые должны быть доступны для пользователей, подключенных к VPN.

Private Network: Network
- адрес сети в формате CIDR,
Status:Enabled  - активация сети

Send Traffic: 
over tunnel - интернет трафик проходит по SSL VPN-Plus  через NSX EDGE;
bypassing - интернет трафик проходит напрямую, минуя NSX EDGE;

6. Создание пользователей: 

Пользователи должны быть добавлены вручную: 
Для создания учетной записи пользователя нажмите [+] 

Users: User ID - имя пользователя,
Password / Retype Password - пароль,
Enabled - активация учетной записи

7. Конфигурация Client Tunneling

В режиме Split туннеля через шлюз NSX Edge проходит только VPN. В Full туннеле шлюз NSX Edge становится шлюзом удаленного пользователя по умолчанию, и весь трафик (VPN, локальный и Интернет) проходит через этот шлюз.

8. Создание инсталляционного пакета

Создайте пакет установки клиентского ПО нажав [+]
Installation Packages:

Profile Name - имя пакета,
Gateway/Port - IP адрес/порт шлюза, Linux/Mac - поддержка доп. операционных систем (клиент для Windows гененрируется автоматически),
Enabled - активация пакета ПО

Включите все необходимые параметры установки (такие как автоматический режим или запуск клиента при входе в систему) и сохраните конфигурацию.

Обратите внимание, что если IP-адрес или порт шлюза по какой-либо причине изменились, профиль пакета установки необходимо удалить и создать заново. 

 

9. Включение сервера

Включите сервер SSL VPN, выбрав Enabled на вкладке Server Settings

 

10. Установка клиента SSL VPN под Windows

Откройте в браузере адрес https://<имя сервера/ip-адрес edge>:<port>, войдите под учетной записью созданного пользователя, загрузите и установите подготовленный пакет клиентского ПО.

 

Запустите установленный клиент, нажмите Login, и введите учетные данные пользователя

 

Дополнительная информация

 

Для разграничения доступа к облачным ресурсам возможно потребуется создать правила firewall для доступа пула клиентов VPN к отдельным серверам.

Дополнительная информация производителя по настройке SSL VPN-Plus: настройка сервера, настройка клиентов

 

Вы уже работаете с сервисами Cloud4Y?

Перейти на вебсайт

Попробовать бесплатно

  • 322 Пользователи нашли это полезным
Помог ли вам данный ответ?

Связанные статьи

Juniper SRX, Site-to-Site VPN

Настройка Site-to-Site VPN между Edge gateway и Juniper SRX Схема: С подробным описанием...

Site to Site IPsec Policy Based VPN между Edge Gateway и Mikrotik. Dual WAN (два провайдера).

Инструкция описывает сценарий настройки Site to Site IPsec VPN между облаком Cloud4Y (Edge...

Отказоустойчивая конфигурация IPSec c помощью EDGE Gateway

Прежде, чем вы начнете Технология создания туннелей GRE была добавлена в NSX 6.4. Данная...

Резервирование VPN подключения

Однажды к нам обратился клиент с просьбой обеспечить резервирование VPN туннеля между офисом и...

Параметры IPSec Site-to-Site VPN, поддерживаемые Edge Gateway (vCloud Director v 9.7)

В данной таблице перечислены параметры туннеля IPSec S2S VPN для vCloud Director версии 9.7....