SonicWALL SSL VPN 設定

其實這篇應該很早就要寫出來了,只是最近雜事太多,趁現在比較沒事情趕快做一下紀錄吧

在SonicWALL SSLVPN 上有所謂的以下兩種服務
1. Tunnel Mode:透過Netextender存取遠端服務(所有服務都可以存取,理論上較不安全)
2. Portal Mode:透過Web  UI存取遠端服務(限定服務存取,理論上比較安全)
這邊比較常用的會是Tunnel Mode 存取,所以先行介紹

主要步驟如下:
1. 開啟SSLVPN Service
2. 設定Client 配發IP網段
3. 設定Client 路由表 & 防火牆規則
4. 建立SSLVPN 使用者
5. 測試登入

1. 開啟SSLVPN Service
點選SSL VPN → Server Setting
開啟所指定的Zone,也就是說你如果有兩組WAN IP在SonicWALL上,那者兩組IP都會自動開啟SSLVPN Service。(若只需要一組WAN IP開啟SSLVPN Service 則需要從Firewall Rule 做設定)
並且指定SSLVPN Service Port



















2. 設定Client 配發IP網段
點選SSL VPN → Client Settings
a.  Interface的部分需要與配發的IP同樣網段
b. 分配SSLVPN 開啟及結束IP Range
c. 分配DNS IP
d. User Domain

對於Netextender可以設定許多的安全性設定值,我個人是開啟這三項,這邊視環境來決定

3. 設定Client 路由表  & 防火牆規則
a Client 路由表
當SSLVPN連入後Netextender 會幫系統自動增加的路由表
下圖設定值就是多了一筆192.168.168.0/24在 Client PC上的路由表,Client 才有辦法存取遠端網段
Tunnel All Mode (Disable): Client 上網時,仍然使用自己的內部Gateway來做路由
Tunnel All Mode (Enable): Client 上網時,使用遠端Gateway來做路由

b. 防火牆規則
點選 Firewall → Access Rules
預設當Client 路由表加入後,所加入的網段192.168.168.0/24 在Firewall Access Rules 會自動被建立完成,若有需要再調整可以再修改Firewall Access Rules

4. 建立SSLVPN 使用者
點選Users → Local Users → Add User (這個部分也是可以結合AD or LDAP)
Settings Tab
設定帳號密碼

Groups Tab
注意一定要有SSLVPN Services 群組否則會無法登入

VPN 存取權限,與Client Route 設定相同 (這個部分理論上應該是給GVC設定的,就算沒設定我自己測試過應該也是沒有問題,但是看了原廠文件有提到需要設定,還是乖乖的設定吧)

開啟SSLVPN User Login 權限
點選Network → Interfaces
編輯WAN Interface 開啟User Login HTTPS
5.測試登入
打開瀏覽器鍵入https://SonicWALLSSLVPNWANIP:4433 (記得Port )


















點選Netextender後會開始一系列的安裝 (安裝Netextender 附加元件)

















完成圖

 

Mobile 部分也是有專用的SSLVPN Client (支援 Android  & Apple 不須root 或JB)

Refer:
https://www.fuzeqna.com/sonicwallkb/consumer/kbdetail.asp?kbid=6461&keyword=SSL%20VPN

Facebook Comments