深入了解如何在 ZYXEL USG Flex H 系列防火牆上設置 SSL VPN
Zyxel Employee
什麼是 SSL VPN
SSL VPN 遠端安全存取服務可以讓企業員工遠距辦公時,建立加密通道連接企業內部網路,安全存取企業內部資源,進行公文審核及緊急事件處理。
SSL VPN 利用 SSL/TLS 加密協議,讓企業員工在遠程辦公時能夠安全地連接公司內部網路。與傳統 VPN 相比,SSL VPN 使用不同的服務 Port,較能避免被封鎖的可能,使用方便且安全性高。此外,它支援多種操作系統,適合各種設備,使得企業無論何時何地都能保持安全的網路連接。
SSL VPN 用戶同時連線數
USG FLEX H 系列防火牆依據型號具有不同的 SSL VPN 同時連線用戶上限(裝置數量),請確認該型號是否符合您的需求 :
- USG FLEX 100H : 25
- USG FLEX 200H : 50
- USG FLEX 500H : 150
- USG FLEX 700H : 500
請依據官方網站資料為主 :
Open VPN
好消息! USG FLEX H 系列防火牆支援 OpenVPN 建立 SSL VPN 的方式,讓更多類型的裝置都能使用 ZYXEL SSL VPN。
OpenVPN 支援多種操作系統,以下是常見的支援平台:
- Windows - 支援從 Windows XP 到 Windows 11 的版本。
- macOS - 支援 macOS 的多個版本,通常最新版本也會被支援。
- Linux - 支援多種 Linux 發行版,包括 Ubuntu、Debian、CentOS、Fedora 等。
- Android - 提供適用於 Android 裝置的 OpenVPN Connect 應用程式。
- iOS - 提供適用於 iPhone 和 iPad 的 OpenVPN Connect 應用程式。
這使得 OpenVPN 成為一個高度靈活且廣泛適用的 VPN 解決方案。
——————————————————————————————————————————————————————————
設定教學
請參考以下設定教學,正確完成防火牆 SSL VPN 配置。
備註 : 本篇文章防火牆截圖畫面使用 USG FLEX 500H V1.20(ABZH.0) 版本。
步驟1 - 啟用 SSL VPN
前往【VPN > SSL VPN】 ,啟用 SSL VPN。
步驟2 - 編輯接收介面
選擇用戶要透過哪個外網介面連接 SSL VPN
請注意!若您的 WAN 介面為 PPPOE,請選擇帶有 "_PPP" 的介面。
預設值連接埠為 10443,已與 HTTPS 錯開,一般無須額外修改。
若您的 WAN IP 不是固定 IP,建議申請 DDNS,這樣即使 WAN IP 變更了,也能正常建立 SSL VPN。
防火牆 DDNS 設定教學可以參考此文章 : USG FLEX H 系列防火牆:DDNS 與 IKEv2 VPN 遠端存取完整教學
步驟3 - 用戶流量設定
SSL VPN 可以決定是否將用戶流量全部導回防火牆出口,或是僅有特定內網流量導回防火牆,其餘上網流量依然透過用戶本地網路傳輸。
- 選擇 Full Tunnel 的好處是防火牆也能過濾 VPN 用戶的傳輸流量。
- 選擇 Spilt Tunnel 的好處是 VPN 用戶不會受到防火牆外網頻寬影響傳輸上限。
步驟4 - 用戶網段設定
編輯分配給 VPN 用戶的網段、DNS 建議自定義常用 DNS Server。
非常重要 : 請確認此網段若與內部現有網段衝突,必須調整成其他網段,否則 VPN 用戶路由傳輸將發生異常。
步驟5 - 用戶帳號設定
新增 VPN 用戶帳號密碼,建議每個用戶都有自己帳號,查詢連線紀錄才能辨識屬於哪個使用者。
點選使用者編輯,於跳出的視窗點擊 "+新增物件"。
輸入 VPN 用戶帳號密碼,類型請選擇 "User"。
勾選允許連接 VPN 的使用者,或點選 any,允許任何 user 類型帳號皆能連接 VPN。
勾選完成後,點選 "X" 即可完成設定。
步驟6 - 套用設定
確認設定無誤後,點選套用,完成 SSL VPN 設定。
步驟7 - 調整防火牆規則
防火牆預設值不允許外網連接 10443 服務,因此需要手動加入規則。
請前往【物件 > 服務 > 服務群組】,勾選編輯 "Default_Allow_WAN_To_ZyWALL"
將 SSL VPN 加入服務群組
移動完成請點選套用
若您有調整 SSL VPN 預設服務 Port,請到物件調整您修改的 Port。
步驟8 - 檢查防火牆規則
請前往【安全性策略 > 策略控制】即可查看預設值允許外網連接防火牆(ZyWALL)的服務群組已有包含 SSL VPN 服務。
若無法連線成功,請檢查規則上方是否有其他阻擋外網到防火牆(ZyWALL)的規則。
設定完成
下載 SSL VPN 設定檔,匯入 OpenVPN 即可完成 SSL VPN 連線。
若您對於 OpenVPN 操作不是很了解,請繼續前往文章下方參考下一章節 - SSL VPN 用戶端設定教學
點選下載後,檔案將下載至電腦,請將此設定檔傳送給使用者,即可完成 SSL VPN 設定。
——————————————————————————————————————————————————————————
SSL VPN 用戶端設定教學
以下向您示範 Windows、Android、IOS,OpenVPN 設定教學 :
Windows
步驟1 - 安裝 OpenVPN
前往官網下載程式 : https://openvpn.net/client/client-connect-vpn-for-windows/
下載完成,直接執行安裝檔,一直點選下一步即可完成安裝。
安裝完成,程式將自動啟動。
點選使用同意即可縮小程式。
步驟2 - 匯入設定檔
直接雙擊從防火牆下載的 OpenVPN 設定檔即可自動匯入。
輸入 VPN 帳號密碼,點擊連線。
步驟3 - SSL VPN 連線完成
狀態顯示連線完成,再點選開關即可中斷連線。
——————————————————————————————————————————————————————————
Android
步驟1 - 安裝 OpenVPN
PLAY 商店搜尋 OpenVPN 即可找到應用程式,安裝後開啟點選使用同意書。
步驟2 - 下載設定檔
將檔案傳輸到手機,以下範例教學為將檔案上傳 OneDrive 雲端空間後,透過下載連結讓手機下載檔案。
步驟3 - 匯入設定檔
將安裝檔匯入 OpenVPN 後,輸入 VPN 用戶帳號密碼,點擊連線。
步驟4 - SSL VPN 連線完成
再次點選開關即可停止 VPN 連線。
——————————————————————————————————————————————————————————
IOS
步驟1 - 安裝 OpenVPN
Apple 商店搜尋 OpenVPN 即可找到應用程式,安裝後開啟點選使用同意書。
步驟2 - 下載設定檔
將檔案傳輸到手機,以下範例教學為將檔案上傳 OneDrive 雲端空間後,透過下載連結讓手機下載檔案。
步驟3 - 匯入設定檔
將安裝檔匯入 OpenVPN 後,輸入 VPN 用戶帳號密碼,點擊連線。
步驟4 - SSL VPN 連線完成
輸入手機本身的密碼後,VPN 連線成功。
再次點選開關即可停止 VPN 連線。
