Меню базы знаний

Как настроить SSL VPN?

SSL VPN-Plus – один из вариантов Remote Access VPN. Он позволяет удаленным пользователям безопасно подключаться к частным сетям, находящимся за шлюзом NSX Edge. Зашифрованный туннель в случае SSL VPN-plus устанавливается между клиентом (Windows, Linux, Mac) и NSX Edge.

1. Зайдите в раздел Networking, пункт Edges. Выберите необходимый Edge и нажмите Configure services.

2. Перейдите на вкладку SSL VPN-Plus, затем в Authentication и нажмите +. Для аутентификации используйте локальный сервер на самом NSX Edge.

3. Выберите политики для генерирования новых паролей и настройте опции по блокировке пользовательских аккаунтов (например, количество повторных попыток при неправильном вводе пароля).

После настройки всех параметров нажмите Keep. У вас настроен локальный сервер аутентификации.

4. Далее переходите к Server Settings. Выберите адрес и порт, на котором сервер будет слушать входящие соединения, включите логирование и выберите необходимые алгоритмы шифрования.

Здесь же можете изменить сертификат, который будет использовать сервер.

5. Включите сервер и не забудьте сохранить настройки.

6. Далее необходимо настроить пул адресов, которые вы будете выдавать клиентам при подключении. Эта сеть отделена от любой подсети в вашей среде NSX, ее не нужно настраивать на других устройствах в физических сетях, за исключением маршрутов, которые на нее указывают.

Перейдите во вкладку IP Pools и нажмите +.

7. Выберите адреса, маску подсети и шлюз. Здесь же можно изменить настройки для DNS- и WINS-серверов.

8. Так выглядит получившийся пул.

9. Теперь добавьте сети, доступ к которым будет у подключающихся к VPN пользователей. Перейдите во вкладку Private Networks и нажмите +.

10. Заполните:

  • Network – локальную сеть для доступа удаленных пользователей.
  • Send traffic – выберите вариант отправки трафика к сети:
    • over tunnel – через туннель,
    • bypass tunnel – напрямую в обход туннеля.
  • Enable TCP Optimization – галкой включите оптимизацию, если выбрали вариант over tunnel. Здесь можно указать номера портов, для которых необходимо оптимизировать трафик. Трафик для оставшихся портов этой сети не будет оптимизирован. Если номера портов не указаны, трафик для всех портов оптимизируется.

Сохраните настройки.

11. Используется локальная аутентификация, так что необходимо создать пользователей.

12. Здесь задаете базовые вещи вроде имени и пароля. Дополнительно можете запретить пользователю изменять пароль или, наоборот, разрешите задать смену пароля при следующем входе.

13. После добавления всех пользователей перейдите на вкладку Installation Packages. Кнопкой + создайте инсталлятор, который скачает для установки удаленный сотрудник.

14. Нажмите +. Выберите адрес и порт сервера, к которому будет подключаться клиент, и платформы, для которых нужно сгенерировать установочный пакет.

Ниже в этом окне укажите параметры клиента для Windows. Выберите:

  • start client on logon – VPN-клиент будет добавлен в автозагрузку на удаленной машине;
  • create desktop icon – создаст иконку VPN-клиента на рабочем столе;
  • server security certificate validation – будет валидировать сертификат сервера при подключении.

15. Настройка сервера завершена.

16. Теперь скачайте созданный вами установочный пакет на удаленный ПК. При настройке сервера вы указали его внешний адрес (например, 185.148.83.99) и порт (668). По этому адресу необходимо перейти в веб-браузере. В нашем примере это https://185.148.83.99:668.

В окне авторизации вводим учетные данные пользователя, которого мы создали.

17. После авторизации появляется список установочных пакетов, доступных для загрузки. В примере создан только один – его и скачайте.

18. Кликните по ссылке, начнется скачивание клиента.

19. Распакуйте скачанный архив и запустите инсталлятор.

20. После установки запустите клиента, в окне авторизации нажмите Login.

21. В окне проверки сертификата выберите Yes.

22. Введите учетные данные для созданного пользователя и увидите, что подключение завершено успешно.

23. Проверьте статистику VPN-клиента на локальном компьютере.

24. В командной строке Windows (ipconfig /all) увидитевидим, что появился дополнительный виртуальный адаптер, и есть связность с удаленной сетью ,и все работает:

Телеграм канал
Салатовая телега
Полезные статьи и анонсы бесплатных вебинаров про дата-центры, облака, ИБ и телеком
Присоединяйтесь