|
Cyberoam支援client to site的SSL VPN,
以下就幾個設定上的重點,說明如何在Cyberoam上啟用與設定SSL VPN。
說到SSL VPN,它與其它PPTP、L2TP VPN最大的差異就是它需要憑證,
所以才會叫SSL VPN。
- 連線設定
Cyberoam的SSL VPN連線設定,可在 系統/管理/設定 中來進行修改。
可調整的內容,包括server端使用的憑證,提供連結的port與Client端連上web頁面的語言版本畫面。
Server端的憑證,建議就維持系統預設的 ApplianceCertificate 即可。
- 設定憑證
透過憑證來建立VPN Tunnel,Cyberoam本身需做為CA來核發憑證。
可在 系統/憑證/憑證授權 來設定CA的內容。
建立好CA後,可增加一個給client端使用的憑證。
當然你要把系統預設的 ApplianceCertificate 給client端使用也無不可,
不過基本上是建議把Server端與Client端分開的。
這樣雙方憑證的交互驗證才有意義。
- 設定SSL VPN Client端配置
在 虛人私人通道/SSL/通道存取 中,進行Client端的環境配置,
包含Client端使用憑證、IP區段等網路設定。
↑若你在這邊修修改了server端憑證,那麼步驟1中的server端憑證也會隨之修改。
接著設定SSL VPN使用者的存取政策。
若有需要,你還可以客製Client端登入VPN的Web頁面。
- 設定可使用SSL VPN的使用者
在 身份驗證/使用者/使用者 針對欲授權使用SSL VPN的使用者帳號進行存取政策的設定。
到這邊SSL VPN的Cyberoam端基本設定已經好了,
接著來看看Client要怎麼透過軟體連接上Cyberoam吧。
- 連線到VPN Web頁面
Cyberoam的SSL VPN連線軟體、Client端憑證,都可以在VPN Web頁面中取得。
VPN Web頁面的連接port,則在Cyberoam設定中的步驟1可以取得,
以https的協定,掛上Cyberoam的外部IP與其port後,就可以連上登入頁面。
以被授權的帳號/密碼登入後,就可以取得軟體與Client端組態檔等重要資訊。
下載的組態檔 clientbundle.tgz 把它解開後,你可以發現其實CA與Client端憑證就藏在其中。
而Client端的SSL VPN軟體,就是透過這個憑證與Cyebroam進行驗證!
所以這個組態檔是一定要下載的喔!
而下載軟體連結,則會把你導向Cyberoam官網的軟體下載頁面。
請下載SSL VPN Cleint的軟體來安裝使用。
- VPN軟體設定
安裝後軟體後,我們可透過“匯入設定檔”的功能來匯入前一步驟所下載的組態檔。
組態檔中有Client憑證及遠端站台資訊,一定要匯入喔!
然後點選“伺服器設定”,設定遠端Cyberoam的資訊。
↑若有匯入組態檔,就直接圈選“回復到預設(上次匯入)的設定”即可。
然後點選“登入”,輸入您的帳號/密碼來登入吧∼
登入成功後,Cyberoam的圖示會變成彩色的logo。
若在建立Client端憑證時,有勾選“金鑰加密”的話,
Client的憑證就會因密碼加密,而在透過軟體登入時有些變化。
透過軟體登入VPN時,會再要一次密碼。
不過這密碼可不是你登入帳號的密碼,而是Client端憑證的金鑰密碼。
您必需輸入正確的密碼才能正確登入喔!
否則又會回到輸入帳號/密碼的登人畫面,要您再重新登入一次。
那這個憑證金鑰的密碼如何發佈給使用者呢?
若你在SSL VPN的設定中,有勾選“畫面上連結”這個接收密碼選項的話,
在VPN的Web登入頁面中,就會出現取得密碼這個連結喔∼
憑證金鑰密碼的發佈還算簡單吧∼
順子的SSL VPN設定教學就到這邊結束囉。
♥順子老婆的網拍,請多關照∼
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|
2015-06-27, 23:49
《分享》SSL VPN設定
