其實這篇應該很早就要寫出來了,只是最近雜事太多,趁現在比較沒事情趕快做一下紀錄吧
在SonicWALL SSLVPN 上有所謂的以下兩種服務
1. Tunnel Mode:透過Netextender存取遠端服務(所有服務都可以存取,理論上較不安全)
2. Portal Mode:透過Web UI存取遠端服務(限定服務存取,理論上比較安全)
這邊比較常用的會是Tunnel Mode 存取,所以先行介紹
主要步驟如下:
1. 開啟SSLVPN Service
2. 設定Client 配發IP網段
3. 設定Client 路由表 & 防火牆規則
4. 建立SSLVPN 使用者
5. 測試登入
1. 開啟SSLVPN Service
點選SSL VPN → Server Setting
開啟所指定的Zone,也就是說你如果有兩組WAN IP在SonicWALL上,那者兩組IP都會自動開啟SSLVPN Service。(若只需要一組WAN IP開啟SSLVPN Service 則需要從Firewall Rule 做設定)
並且指定SSLVPN Service Port
2. 設定Client 配發IP網段
點選SSL VPN → Client Settings
a. Interface的部分需要與配發的IP同樣網段
b. 分配SSLVPN 開啟及結束IP Range
c. 分配DNS IP
d. User Domain
對於Netextender可以設定許多的安全性設定值,我個人是開啟這三項,這邊視環境來決定
3. 設定Client 路由表 & 防火牆規則
a Client 路由表
當SSLVPN連入後Netextender 會幫系統自動增加的路由表
下圖設定值就是多了一筆192.168.168.0/24在 Client PC上的路由表,Client 才有辦法存取遠端網段
Tunnel All Mode (Disable): Client 上網時,仍然使用自己的內部Gateway來做路由
Tunnel All Mode (Enable): Client 上網時,使用遠端Gateway來做路由
b. 防火牆規則
點選 Firewall → Access Rules
預設當Client 路由表加入後,所加入的網段192.168.168.0/24 在Firewall Access Rules 會自動被建立完成,若有需要再調整可以再修改Firewall Access Rules
4. 建立SSLVPN 使用者
點選Users → Local Users → Add User (這個部分也是可以結合AD or LDAP)
Settings Tab
設定帳號密碼
Groups Tab
注意一定要有SSLVPN Services 群組否則會無法登入
VPN 存取權限,與Client Route 設定相同 (這個部分理論上應該是給GVC設定的,就算沒設定我自己測試過應該也是沒有問題,但是看了原廠文件有提到需要設定,還是乖乖的設定吧)
點選Netextender後會開始一系列的安裝 (安裝Netextender 附加元件)
完成圖
Refer:
https://www.fuzeqna.com/sonicwallkb/consumer/kbdetail.asp?kbid=6461&keyword=SSL%20VPN