Подключение на базе SSL VPN для клиентского доступа (remote access)¶
SSL VPN-plus используется для удаленного подключения пользователей к сетям в облаке. Между клиентом для Windows , Linux или Mac и NSX Edge устанавливается зашифрованный SSL-туннель. Он позволяет клиентам подключаться и работать в облаке из любого места при наличии интернета.
SSL-VPN plus нельзя использовать на NSX Edge одновременно с L2VPN SSL.
Вы можете столкнуться со следующей ошибкой:
При установке клиента SSL VPN Plus на MacOS версии 15.10 («Catalina») и выше может появляться сообщение: «The installation failed. The Installer encountered an error that caused the installation to fail. Contact the software manufacturer for assistance».
MacOS версии 15.10 («Catalina») и выше не входит в перечень поддерживаемых операционных систем. Причина в несовместимости MacOS данных версий с 32-битным ПО . Срок появления поддержки неизвестен.
Рекомендуем использовать SSL VPN Plus 64-bit Client for Mac OS версии 6.4.6. Чтобы получить данный клиент, обратитесь в техническую поддержку .
Если при установке появляются проблемы, повторите эту процедуру несколько раз. Со второго или третьего раза установка завершается успешно.
Пример топологии сети с подключением на базе SSL VPN-plus:
Выполните следующие шаги:
Настройка SSL VPN-Plus¶
В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges .
Выберите объект из списка, нажав на переключатель слева от названия.
Чтобы узнать информацию о пограничном шлюзе, нажмите на его название. В разделе Configuration → Gateway Interfaces указаны:
в поле Primary IP — публичные IP-адреса Edge Gateway в формате «x.x.x.x»;
в поле Subnets — подсеть Edge Gateway в формате «x.x.x.0/24»;
в поле Gateway — шлюз по умолчанию в формате «x.x.x.254».
На вкладке SSL VPN-Plus → Authentication нажмите + LOCAL , чтобы настроить локальную аутентификацию. Параметры можно оставить по умолчанию.
Если вкладка SSL VPN-plus отсутствует, сделайте заявку на присвоение прав доступа «Role Organization Administrator with SSL VPN». Для этого обратитесь в техническую поддержку .
На вкладке SSL VPN-Plus → Server Settings :
Еnabled — включите, чтобы запустить SSL VPN-plus.
IP Address — выберите публичный IP-адрес Edge Gateway в формате «x.x.x.x».
Port — укажите TCP порт на сервере, например «44444».
Сipher list — выберите тип шифрования. Рекомендуем использовать наиболее стойкий к дешифрованию «AES256-SHA».
На вкладке SSL VPN-Plus → IP pools нажмите на + , чтобы добавить пул IP-адресов.
Заполните форму Create New IP Pool :
IP Range — диапазон IP-адресов для подключившихся клиентов в формате «b.b.b.0-b.b.b.10».
Netmask — маска подсети, например «255.255.255.0».
Gateway — шлюз для подсети в формате «b.b.b.254». Этот адрес будет находиться на NSX Edge.
Status — активируйте, чтобы включить пул IP-адресов.
На вкладке SSL VPN-plus → Private Networks нажмите на + , чтобы добавить подсети, к которым у клиента должен быть доступ после подключения
Заполните форму Add Private Network :
Network — укажите подсеть в формате «a.a.a.0/24». Маршрут к подсети записывается в таблицу маршрутизации клиентского хоста после подключения.
Send Traffic — выберите «Over tunnel», чтобы маршрут установился через туннельный интерфейс.
Enable TCP optimization — установите флаг.
Чтобы локальная аутентификация работала, нужны локальные учетные записи. На вкладе SSL VPN-Plus → Users нажмите на + .
Заполните форму Create New User :
User Id — имя пользователя;
Password и Retype Password — пароль;
Enabled — оставьте переключатель активированным;
Password Details — активируйте переключатель Password never expires .
После создания хотя бы одной локальной учетной записи, настройте возможность загрузить дистрибутив SSL VPN Сlient.
На вкладке SSL VPN-Plus → Installation Packages нажмите на + .
По умолчанию после подключения на портале можно загрузить SSL VPN client для Windows.
Заполните форму Add Installation Package :
Profile Name — выберите учетную запись;
Gateway — укажите публичный IP-адрес Edge Gateway в формате «x.x.x.x», с которого можно загрузить дистрибутив;
Create installation packages for — для добавления на портал дистрибутивов для Linux и MacOS выберите «Linux» и «Mac»;
Поставьте флаги напротив следующих опций:
Start client on logon — запускать SSL VPN client при загрузке ОС ;
Create desktop icon — создать иконку на рабочем столе;
Server security certificate validation — проверять сертификат сервера.
Остальные флаги поставьте по необходимости:
Allow remember password — сохранить пароль;
Enable silent installation — разрешить «тихую» установку;
Hide SSl client network adapter — спрятать SSL VPN интерфейс из ОС клиента;
Hide client system tray icon — спрятать системную иконку в трее;
Enable silent mode operation — работа в «тихом» режиме.
Сервер функционален и ожидает подключение клиентов.
Загрузка и установка SSL VPN Сlient¶
Перейдите по ссылке https://x.x.x.x:port/sslvpn-plus/
x.х.х.х — IP адрес сервера, который вы указали на шаге 5.
port — порт, который вы указали на шаге 5.
Введите логин и пароль учетной записи, которую вы создали на шаге 13.
Загрузите SSL VPN Сlient по ссылке.
Откройте архив и запустите Installer.exe .
После установки у клиента будут настройки для учетной записи, с помощью которой его загрузили.
Источник
SSL VPN clients for Apple devices
Several SSL VPN providers have created apps to help configure Apple devices for use with their solutions. To configure a device for a specific solution, install the provider’s companion app from the App Store and, optionally, provide a configuration profile with the necessary settings. SSL VPN solutions available on the App Store include:
Aruba Networks SSL VPN: Aruba Networks Mobility Controller. For configuration, install the Aruba Networks VIA app.
For contact information, see the Aruba Networks website.
Check Point Mobile SSL VPN: Check Point Security Gateway with a full Layer-3 VPN tunnel. Install the Check Point Mobile app.
Cisco AnyConnect SSL VPN: Cisco Adaptive Security Appliance (ASA) running suggested software release 8.2.5 or later. Install the Cisco AnyConnect app.
F5 SSL VPN: F5 BIG-IP Edge Gateway, Access Policy Manager, and FirePass SSL VPN solutions. Install the F5 BIG-IP Edge Client app.
OpenVPN SSL VPN: OpenVPN Access Server, Private Tunnel, and OpenVPN Community. For configuration, install the OpenVPN Connect app.
Palo Alto Networks GlobalProtect SSL VPN: GlobalProtect gateway from Palo Alto Networks. Install the GlobalProtect for iOS (or iPadOS) app.
SonicWALL SSL VPN: SonicWALL Aventall E-Class Secure Remote Access appliances running 10.5.4 or later; SonicWALL SRA appliances running 5.5 or later; and SonicWALL Next-Generation Firewall appliances including the TZ, NSA, and E-Class NSA running SonicOS 5.8.1.0 or later. Install the SonicWALL Mobile Connect app.
AirWatch SSL VPN: For information, see the VM AirWatch website.
Pulse Secure SSL VPN: Pulse Secure SA Series SSL VPN Gateway running version 6.4 or later with Pulse Secure IVE package 7.0 or later.
See Junos Pulse on the Pulse Secure website.
Mobile Iron SSL VPN: For information, see the Mobile Iron website.
NetMotion SSL VPN: For information, see the NetMotion website.
Published Date: December 14, 2020
Источник
Question: Q: how do i access a ssl vpn on a mac?
The company that I do consult for has issued as access to a vpn, they gave instructions on a PC, but I own a MAC. I have searched online on how to access/install a vpn on a MAC, but it’s not connecting somehow? Can anyone help me please? Thanks.
Mac Pro, iOS 5.0.1
Posted on Jul 16, 2012 1:59 PM
All replies
Loading page content
Page content loaded
In Preferences >> Network, click on the + at the bottom of the list and then select VPN as the Interface Type to create a new VPN connection.
Have you created a VPN? Are you getting an error message? What type of VPN are you connecting to? Cisco? Nortel? Windows?
Jul 16, 2012 2:41 PM
Hi. Thanks for your reply. I believe the VPN connection would be CITRIX? Also, I did that preference network VPN interface stuff, but when I completed it, the error message states, «connection failed». Could you please help? Thank U!
Jul 16, 2012 5:53 PM
If you are using Citrix then download the latest Citrix Receiver and install it (ignore everything on the page in the link and click download and install).
Then once installed, run it and enter the connection url, domain\account and password. This is not a native type VPN, it is managed differently.
Jul 16, 2012 6:10 PM
Tried to download Citrix receiver, but it won’t let me — inactive plug in.
Jul 16, 2012 6:12 PM
Click on the arrow and install the plug-in. Then Allow the changes and download the dmg file. You can also use Chrome or Firefox and the plug-in may not be needed. Then install the dmg file.
Jul 16, 2012 6:18 PM
Ok. I had to install manually. Should I go ahead and try the VPN interface again?
Jul 16, 2012 6:22 PM
No, this is not technically a VPN that you are setting up. You are setting up a Citrix connection. You need to launch the Receiver and enter the URL that your admin gave you. You will also need the domain, account and password. This is an application that you will run each time to connect.
Jul 16, 2012 6:25 PM
When you launch it and Citrix searhes the Applications at your «store» it will look kind of like this (with different applications). I use this for SAP work.
Jul 16, 2012 6:32 PM
No, this is not technically a VPN that you are setting up. You are setting up a Citrix connection. You need to launch the Receiver and enter the URL that your admin gave you. You will also need the domain, account and password. This is an application that you will run each time to connect.
That is a very nice instruction set, 🙂
Jul 16, 2012 6:43 PM
I still can’t connect. Sorry, I’m just not a tech person. so frustrating!
Jul 16, 2012 7:04 PM
Well, take it one step at a time. Did you install the DMG? Double click on it in the download folder. Go through the installation. Then, launch the Citrix Reciever from the launch pad. Then it will ask for a URL.
Did you get something like, » https://citirx . » from your administrator? You’ll need this. This points the Reciever to the Citrix server you are connecting through.
There are a few steps to get this going. They are not complicated, but you can’t connect without doing them in order.
Jul 16, 2012 7:25 PM
Follow this installation and setup guide and you should be able to get it going. Just enter the information for your domain instead of the one shown.
Jul 16, 2012 7:38 PM
Installed Citrix as instructed. Everything’s fine up until I enter the URL. Error message — untrusted certificate.
Jul 16, 2012 7:59 PM
This means that the certificate that Citrix uses to create the SSL (Secure Socket Layer) connection is not known. There is either an option to accept it or you’ll have to get your Citrix administrator to fix this. This is what’s wrong:
About Secure Connections and SSL Certificates
When securing remote connections using SSL, the mobile device verifies the authenticity of the remote gateway’s SSL certificate against a local store of trusted root certificate authorities. The device automatically recognizes commercially issued certificates (such as VeriSign and Thawte) provided the root certificate for the certificate authority exists in the local keystore.
Private (Self-signed) Certificates
If a private certificate is installed on the remote gateway, the root certificate for the organization’s certificate authority must be installed on the device in order to successfully access Citrix resources using Receiver for Mac.
Note: If the remote gateway’s certificate cannot be verified upon connection (because the root certificate is not included in the local keystore), an untrusted certificate warning appears. If a user chooses to continue through the warning, a list of applications is displayed; however, applications fail to launch.
Importing Root Certificates on Receiver for Mac Devices
Obtain the certificate issuer’s root certificate and email it to an account configured on your device. When clicking the attachment, you are asked to import the root certificate.
Wildcard Certificates
Wildcard certificates are used in place of individual server certificates for any server within the same domain. Receiver for Mac supports wildcard certificates.
Источник
SSL VPN clients for Apple devices
Several SSL VPN providers have created apps to help configure Apple devices for use with their solutions. To configure a device for a specific solution, install the provider’s companion app from the App Store and, optionally, provide a configuration profile with the necessary settings. SSL VPN solutions available on the App Store include:
Aruba Networks SSL VPN: Aruba Networks Mobility Controller. For configuration, install the Aruba Networks VIA app.
For contact information, see the Aruba Networks website.
Check Point Mobile SSL VPN: Check Point Security Gateway with a full Layer-3 VPN tunnel. Install the Check Point Mobile app.
Cisco AnyConnect SSL VPN: Cisco Adaptive Security Appliance (ASA) running suggested software release 8.2.5 or later. Install the Cisco AnyConnect app.
F5 SSL VPN: F5 BIG-IP Edge Gateway, Access Policy Manager, and FirePass SSL VPN solutions. Install the F5 BIG-IP Edge Client app.
OpenVPN SSL VPN: OpenVPN Access Server, Private Tunnel, and OpenVPN Community. For configuration, install the OpenVPN Connect app.
Palo Alto Networks GlobalProtect SSL VPN: GlobalProtect gateway from Palo Alto Networks. Install the GlobalProtect for iOS (or iPadOS) app.
SonicWALL SSL VPN: SonicWALL Aventall E-Class Secure Remote Access appliances running 10.5.4 or later; SonicWALL SRA appliances running 5.5 or later; and SonicWALL Next-Generation Firewall appliances including the TZ, NSA, and E-Class NSA running SonicOS 5.8.1.0 or later. Install the SonicWALL Mobile Connect app.
AirWatch SSL VPN: For information, see the VM AirWatch website.
Pulse Secure SSL VPN: Pulse Secure SA Series SSL VPN Gateway running version 6.4 or later with Pulse Secure IVE package 7.0 or later.
See Junos Pulse on the Pulse Secure website.
Mobile Iron SSL VPN: For information, see the Mobile Iron website.
NetMotion SSL VPN: For information, see the NetMotion website.
Published Date: December 14, 2020
Источник
