《分享》如何限制SSL VPN可連線的Client端IP |  |
有網友在問,如何限制SSL VPN可連線的Client端IP?
由於SSL VPN是直接連到XG本身,也就是XG上所謂LOCAL這個特殊區域,
並不是LAN或是WAN這些可以透過Firewall Rule進行控管的區域,
因此沒有辦法透過Firewall Rule進行限制。
要限制可以使用SSL VPN的前端使用者IP,其實就跟 限制XG的管理連線 一樣,
必需在Device Access中來進行。
首先我們先在Device Access中,取消WAN的SSL VPN存取。

然後在Local Service ACL Exception Rule中,再加入欲允許連線的使用者IP例外放行規則。

在例外放行規則中,指定Source Zone為WAN,Service為SSL VPN,
並在Network/Host中,將欲放行的IP加入此清單之中;
最後再允許此例外規則。

完成後,雖然我們已經取消WAN的SSL VPN使用權限,
但上述的例外放行規則倒是允許了我們所設定的小範圍外部IP使用權限,
理論上是達成了這個需求~

但真的是這樣嗎?
實際在進行SSL VPN的撥接時,會發現Client端user永遠都無法成功撥入!?
這是因為SSL VPN的設定檔在製作時,會參考XG上Device Access裏SSL VPN允許的Zone區域設定,
然後以如下的remote參數把它寫在設定檔 XXX_ssl_vpn_config.ovpn 中的最後幾行。
remote <介面IP> 8443

在我們把WAN自SSL VPN所允許的區域取消後,設定檔中的remote IP參數就少了WAN的介面IP,
造成了SSL VPN在連線撥接時,找不到XG的WAN IP來進行連線,
SSL VPN當然無法成功撥通...
解決方式是手動修改此SSL VPN設定檔 XXX_ssl_vpn_config.ovpn,路徑如下。
C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config
在補回這個WAN的remote IP參數後,問題總算是解決了~

♥順子老婆的網拍,請多關照~
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|