База знаний: E-Cloud
VMware - Настройка SSL VPN

В VMware есть встроенное средство для подключения клиентов к сети VDC по защищенному каналу и работе с виртуальными машинами по VPN.

Настройка SSL VPN-Plus производится на вкладке свойств Edge Gateway.

Выберите нужный VDC.

Перейдите на вкладку Networking - Edges

 alt=

Выберите нужный Edge, если у вас их несколько.

 alt=

Выберите Services.

Перейдите на вкладку SSL VPN-Plus, здесь находятся все настройки.

 alt=

Внимание, если вкладки SSL VPN-Plus у вас нет, значит данная опция не активирована, для ее активации составьте, пожалуйста, в техническую поддержку.

1. Создайте пользователей VPN, минимум одного. Затем, в любое время можно будет создать дополнительных пользователей.

Для этого перейдите на вкладку Users и нажмите кнопку "+"

 alt=

 

Заполните следующие поля:

 alt=

User Id - логин

Password - пароль

Retype Password - повтор пароля

First name - имя

Last Name - фамилия

Description - описание

Поля обозначенные * обязательны для заполнения.

Установите переключатели в нужное положение (вкл или выкл):

Enable - включить учетную запись

Password never expires - пароль никогда не истекает

Allow change password - разрешить пользователю менять пароль

Change password on next logon - запросить изменение пароля у пользователя при следующем подключении

Сохраните нажав кнопку Keep.

2. Добавьте пул адресов котрые будут выдаваться клиентам (пользователям) при подключении к VPN. Подсеть не должна пересекаться с подсетями в VDC.

Перейдите на вкладку IP Pools и нажмите кнопку "+"

 alt=

Заполните следующие поля:

 alt=

IP Range - IP адреса которые будут выдаваться клиентам, здесь указали (192.168.17.10 - 192.168.17.50)

в данном случае мы разрешаем использовать 41 IP, то есть одновременно к VPN сможет подключиться 41 пользователь.

Netmask - маска подсети

Gateway - IP адрес шлюза

Description - описание

Status - включение\выключение пула IP

Primary DNS - ДНС сервер назначаемый для сетевого интерфейса. Если у вас есть внутренний ДНС и вы хотите, чтобы пользователи обращалились к серверам в VDC по именам, то указывайте его.

Secondary DNS - дополнительные ДНС сервер

DNS Suffix - ДНС суффикс

Поля обозначенные * обязательны для заполнения.

Сохраните нажав кнопку Keep.

3. Укажите серверные настройки для SSL VPN.

Перейдите на вкладку Server Setting и укажите нужные настройки:

 alt=

Enable - включить\выключить сервер SSL VPN

IP Address - IP адрес на который будут подключаться пользователи (клиенты). IP адрес можно выбрать из доступных в вашем VDC.

Port - укажите на какой порт будут подключаться пользователи (клиенты). Идеально использовать порт 443 (стандартный https). Если порт не занят у вас. Если на всех IP у вас порт 443 занят, то рекомендуется приобрести дополнительные IP и использовать его. Это позволит избежать блокировок ваших пользователей (клиентов) при подключении, так как во многих публичных сетях подключения на нестандартные порты блокируются. В данном примере используем порт 4444

Cipher List - выберите какие шифры можно использовать.

Logging Policy - если вы настроили Syslog сервер, то при включении этой настройки на ваш syslog сервер будут приходить сообщения.

Кнопка Change server certificate - служит для выбора SSL сертификата котрые будет использоваться для подключения. Если у вас есть свой сертификат, например vpn.mydomain.com, и вы хотите использовать это имя при подключении, то рекомендуется добавить сертификат в VDC и использовать его для работы. Если сертификата у вас нет, то будет использоваться самоподписанный сертификат, то есть пользователям нужно будет в браузере применять исключение.

Сохраните сделанные настройки.

4. Укажите IP подсети в VDC к которым можно будет подключаться при подключении по SSL VPN.

Перейдите на вкладку Private Networks и нажмите кнопку "+".

 alt=

Укажите нужные данные

 alt=

Networks - укажите подсеть

Description - описание

Ports - можно указать на какие порты будет разрешено подключаться

Status - активировать\деактивировать подсеть.

Сохраните нажав кнопку Keep.

Если нужно добавить несколько сетей, то добавьте каждую по отдельности.

5.Создайте пакет установки для пользователей.

Перейдите на вкладку Installation Packages и нажмите кнопку "+".

 alt=

Заполните нужные поля

 alt=

Profile Name - задайте имя пакета

Gateway - IP адрес для подключения к серверу SSL VPN, здесь укажите IP который указали на вкладке Server Setting или здесь можно указать ДНС имя, например vpn.mydomain.com, если оно ведет на нужный IP.

Port - укажите порт для подключения к серверу SSL VPN, который указали на вкладке Server Setting

Create installation package for - укажите для каких ОС нужно создавать пакет. Для Windows опция установлена по умолчанию, отказаться нельзя. Можно указать Linux  и Mac (iOS). На странице загрузки пользователь будет видеть пакет для ОС с котрой он подключился, если для этой ОС разрешен пакет.

Description - описание

Enable - включить\отключить пакет

Блок Installation Parameters for Windows - опции для пакета семейства ОС Windows, котрые будут применены для клиента SSL VPN:

Start client on logon -автоматически запускать SSL VPN клиент при логоне

Allow remember password - разрешить запоминать пароль в клиенте

Enable silent mode installation - "тихий" режим установки клиента, при установке пользователю не будут задаваться дополнительные вопросы

Hide SSL client network adapter - скрывает адаптер VMware SSL VPN-Plus, который устанавливается на компьютер удаленного пользователя вместе с установочным пакетом SSL VPN

Hide client system tray icon - скрывает значок SSL VPN на панели задач, который указывает, активно ли VPN-соединение

Create desktop icon - создать ярлык на рабочем столе

Enable silent mode operation - cкрывает всплывающее окно, указывающее, что установка завершена.

Server security certificate validation - клиент SSL VPN проверяет сертификат сервера SSL VPN перед установкой безопасного соединения

Block user on certificate validation failure - если проверка сертификата завершилась неудачно, заблокируйте пользователя SSL VPN

Сохраните нажав кнопку Keep.

6. Общие настройки SSL VPN-Plus.

Перейдите на вкладку General Setting и измените настройки, если требуется.

 alt=

Prevent multiple logon using same username - разрешить удаленному пользователю войти в систему только один раз с именем пользователя. Пользователь может создать только одну сесссию.

Enable compression - Включите интеллектуальное сжатие данных на основе TCP и улучшите скорость передачи данных.

Enable logging - Вести журнал трафика, проходящего через шлюз SSL VPN.

Force virtual keyboard - Принудительная виртуальная клавиатура

Randomize keys of virtual keyboard - Сделайте клавиши виртуальной клавиатуры случайными.

Enable forced timeout - Отключите удаленного пользователя по истечении указанного периода ожидания. Введите время ожидания в минутах.

Session idle timeout - Если в пользовательском сеансе в течение указанного периода нет активности, завершите пользовательский сеанс по истечении этого периода. Тайм-аут простоя SSLVPN учитывает все пакеты, включая контрольные пакеты, отправленные любым приложением и пользовательскими данными, на предмет обнаружения тайм-аута. В результате, даже если нет пользовательских данных, сеанс не прервется, если есть приложение, которое передает периодический контрольный пакет (например, MDNS).

User notification - Введите сообщение, которое будет отображаться удаленному пользователю после входа в систему.

Если внесли изменения, то сохраните их.

 

7. Настройте firewall.

Перейдите на вкладку Firewall.

Там уже будет автоматически созданное правило для доступа к серверу SSL VPN, это IP и порт.

 alt=

Вам нужно будет добавить правило для разрешения доступа с подсети SSL VPN IP адреса из котрой предоставляете пользователям и сетями VDC к которым нужен доступ при подключении к VPN. В данном примере это доступ со 192.168.17.0/24 к 192.168.1.0/24

 alt=

Сохраните правило Firewall.

 

Настройка завершена.

Для получения пакета установки пользоватеть должен зайти в браузере на страницу SSL VPN-Plus это

https://ipgateway:port

где ipgateway - IP или имя указанное при настройке пакета установки (пункт 5)

port - номер порта указанный при настройке пакета установки (пункт 5). Примечание, если используете порт 443, то указывать его не нужно

Пользователю откроется страница авторизации SSL VPN-Plus

 alt=

Пользователь должен авторизоваться.

Пользователю будет предложено скачать пакет установки.

 alt=

На вкладке Tools можно сменить пароль, если это разрешено

 alt=

Пользователь скачает пакет установки, установит и запускает клиентское приложение SSL VPN.

 

 



Вложения 
 
 sslvpn-01.png (44.69 КБ)
 sslvpn-02.png (59.04 КБ)
 sslvpn-03.png (19.13 КБ)
 sslvpn-04.png (24.68 КБ)
 sslvpn-05.png (28.40 КБ)
 sslvpn-06.png (25.51 КБ)
 sslvpn-07.png (24.00 КБ)
 sslvpn-08.png (82.86 КБ)
 sslvpn-09.png (35.49 КБ)
 sslvpn-10.png (19.97 КБ)
 sslvpn-11.png (56.62 КБ)
 sslvpn-12.png (50.95 КБ)
 sslvpn-13.png (39.55 КБ)
 sslvpn-14.png (34.22 КБ)
 sslvpn-15.png (40.05 КБ)
 sslvpn-16.png (40.80 КБ)
 sslvpn-17.png (36.26 КБ)
 sslvpn-18.png (35.69 КБ)


Если решение вопроса найти не удалось, Вы можете отправить нам заявку:



(0 голос(а))
Эта статья помогла
Эта статья не помогла

Комментарии (0)