VMware - Настройка SSL VPN
|
||||
В VMware есть встроенное средство для подключения клиентов к сети VDC по защищенному каналу и работе с виртуальными машинами по VPN. Настройка SSL VPN-Plus производится на вкладке свойств Edge Gateway. Выберите нужный VDC. Перейдите на вкладку Networking - Edges Выберите нужный Edge, если у вас их несколько. Выберите Services. Перейдите на вкладку SSL VPN-Plus, здесь находятся все настройки. Внимание, если вкладки SSL VPN-Plus у вас нет, значит данная опция не активирована, для ее активации составьте, пожалуйста, в техническую поддержку. 1. Создайте пользователей VPN, минимум одного. Затем, в любое время можно будет создать дополнительных пользователей. Для этого перейдите на вкладку Users и нажмите кнопку "+"
Заполните следующие поля: User Id - логин Password - пароль Retype Password - повтор пароля First name - имя Last Name - фамилия Description - описание Поля обозначенные * обязательны для заполнения. Установите переключатели в нужное положение (вкл или выкл): Enable - включить учетную запись Password never expires - пароль никогда не истекает Allow change password - разрешить пользователю менять пароль Change password on next logon - запросить изменение пароля у пользователя при следующем подключении Сохраните нажав кнопку Keep. 2. Добавьте пул адресов котрые будут выдаваться клиентам (пользователям) при подключении к VPN. Подсеть не должна пересекаться с подсетями в VDC. Перейдите на вкладку IP Pools и нажмите кнопку "+" Заполните следующие поля: IP Range - IP адреса которые будут выдаваться клиентам, здесь указали (192.168.17.10 - 192.168.17.50) в данном случае мы разрешаем использовать 41 IP, то есть одновременно к VPN сможет подключиться 41 пользователь. Netmask - маска подсети Gateway - IP адрес шлюза Description - описание Status - включение\выключение пула IP Primary DNS - ДНС сервер назначаемый для сетевого интерфейса. Если у вас есть внутренний ДНС и вы хотите, чтобы пользователи обращалились к серверам в VDC по именам, то указывайте его. Secondary DNS - дополнительные ДНС сервер DNS Suffix - ДНС суффикс Поля обозначенные * обязательны для заполнения. Сохраните нажав кнопку Keep. 3. Укажите серверные настройки для SSL VPN. Перейдите на вкладку Server Setting и укажите нужные настройки: Enable - включить\выключить сервер SSL VPN IP Address - IP адрес на который будут подключаться пользователи (клиенты). IP адрес можно выбрать из доступных в вашем VDC. Port - укажите на какой порт будут подключаться пользователи (клиенты). Идеально использовать порт 443 (стандартный https). Если порт не занят у вас. Если на всех IP у вас порт 443 занят, то рекомендуется приобрести дополнительные IP и использовать его. Это позволит избежать блокировок ваших пользователей (клиентов) при подключении, так как во многих публичных сетях подключения на нестандартные порты блокируются. В данном примере используем порт 4444 Cipher List - выберите какие шифры можно использовать. Logging Policy - если вы настроили Syslog сервер, то при включении этой настройки на ваш syslog сервер будут приходить сообщения. Кнопка Change server certificate - служит для выбора SSL сертификата котрые будет использоваться для подключения. Если у вас есть свой сертификат, например vpn.mydomain.com, и вы хотите использовать это имя при подключении, то рекомендуется добавить сертификат в VDC и использовать его для работы. Если сертификата у вас нет, то будет использоваться самоподписанный сертификат, то есть пользователям нужно будет в браузере применять исключение. Сохраните сделанные настройки. 4. Укажите IP подсети в VDC к которым можно будет подключаться при подключении по SSL VPN. Перейдите на вкладку Private Networks и нажмите кнопку "+". Укажите нужные данные Networks - укажите подсеть Description - описание Ports - можно указать на какие порты будет разрешено подключаться Status - активировать\деактивировать подсеть. Сохраните нажав кнопку Keep. Если нужно добавить несколько сетей, то добавьте каждую по отдельности. 5.Создайте пакет установки для пользователей. Перейдите на вкладку Installation Packages и нажмите кнопку "+". Заполните нужные поля Profile Name - задайте имя пакета Gateway - IP адрес для подключения к серверу SSL VPN, здесь укажите IP который указали на вкладке Server Setting или здесь можно указать ДНС имя, например vpn.mydomain.com, если оно ведет на нужный IP. Port - укажите порт для подключения к серверу SSL VPN, который указали на вкладке Server Setting Create installation package for - укажите для каких ОС нужно создавать пакет. Для Windows опция установлена по умолчанию, отказаться нельзя. Можно указать Linux и Mac (iOS). На странице загрузки пользователь будет видеть пакет для ОС с котрой он подключился, если для этой ОС разрешен пакет. Description - описание Enable - включить\отключить пакет Блок Installation Parameters for Windows - опции для пакета семейства ОС Windows, котрые будут применены для клиента SSL VPN: Start client on logon -автоматически запускать SSL VPN клиент при логоне Allow remember password - разрешить запоминать пароль в клиенте Enable silent mode installation - "тихий" режим установки клиента, при установке пользователю не будут задаваться дополнительные вопросы Hide SSL client network adapter - скрывает адаптер VMware SSL VPN-Plus, который устанавливается на компьютер удаленного пользователя вместе с установочным пакетом SSL VPN Hide client system tray icon - скрывает значок SSL VPN на панели задач, который указывает, активно ли VPN-соединение Create desktop icon - создать ярлык на рабочем столе Enable silent mode operation - cкрывает всплывающее окно, указывающее, что установка завершена. Server security certificate validation - клиент SSL VPN проверяет сертификат сервера SSL VPN перед установкой безопасного соединения Block user on certificate validation failure - если проверка сертификата завершилась неудачно, заблокируйте пользователя SSL VPN Сохраните нажав кнопку Keep. 6. Общие настройки SSL VPN-Plus. Перейдите на вкладку General Setting и измените настройки, если требуется. Prevent multiple logon using same username - разрешить удаленному пользователю войти в систему только один раз с именем пользователя. Пользователь может создать только одну сесссию. Enable compression - Включите интеллектуальное сжатие данных на основе TCP и улучшите скорость передачи данных. Enable logging - Вести журнал трафика, проходящего через шлюз SSL VPN. Force virtual keyboard - Принудительная виртуальная клавиатура Randomize keys of virtual keyboard - Сделайте клавиши виртуальной клавиатуры случайными. Enable forced timeout - Отключите удаленного пользователя по истечении указанного периода ожидания. Введите время ожидания в минутах. Session idle timeout - Если в пользовательском сеансе в течение указанного периода нет активности, завершите пользовательский сеанс по истечении этого периода. Тайм-аут простоя SSLVPN учитывает все пакеты, включая контрольные пакеты, отправленные любым приложением и пользовательскими данными, на предмет обнаружения тайм-аута. В результате, даже если нет пользовательских данных, сеанс не прервется, если есть приложение, которое передает периодический контрольный пакет (например, MDNS). User notification - Введите сообщение, которое будет отображаться удаленному пользователю после входа в систему. Если внесли изменения, то сохраните их.
7. Настройте firewall. Перейдите на вкладку Firewall. Там уже будет автоматически созданное правило для доступа к серверу SSL VPN, это IP и порт. Вам нужно будет добавить правило для разрешения доступа с подсети SSL VPN IP адреса из котрой предоставляете пользователям и сетями VDC к которым нужен доступ при подключении к VPN. В данном примере это доступ со 192.168.17.0/24 к 192.168.1.0/24 Сохраните правило Firewall.
Настройка завершена. Для получения пакета установки пользоватеть должен зайти в браузере на страницу SSL VPN-Plus это где ipgateway - IP или имя указанное при настройке пакета установки (пункт 5) port - номер порта указанный при настройке пакета установки (пункт 5). Примечание, если используете порт 443, то указывать его не нужно Пользователю откроется страница авторизации SSL VPN-Plus Пользователь должен авторизоваться. Пользователю будет предложено скачать пакет установки. На вкладке Tools можно сменить пароль, если это разрешено Пользователь скачает пакет установки, установит и запускает клиентское приложение SSL VPN.
| ||||
Если решение вопроса найти не удалось, Вы можете отправить нам заявку: |