24.1  Konfigurace SSL-VPN ve WinRoute

Podmínkou použití SSL-VPN je členství počítače s WinRoute v příslušné doméně (Windows NT nebo Active Directory). Uživatelské účty, které budou používány k přihlášení do SSL-VPN, musí být ověřovány v této doméně (nelze použít lokální ověřování). Z těchto podmínek vyplývá, že SSL-VPN nelze použít pro přístup ke sdíleným prostředkům ve více doménách ani k prostředkům na počítačích, které nejsou členy žádné domény.

Nastavení parametrů SSL-VPN

Rozhraní SSL-VPN lze zapnout nebo vypnout v sekci Konfigurace → Další volby, záložka WWW rozhraní → SSL-VPN.

Konfigurace rozhraní SSL-VPN

Obrázek 24.1. Konfigurace rozhraní SSL-VPN


Tlačítko Upřesnění otevírá dialog pro nastavení portu a SSL certifikátu pro SSL-VPN.

Nastavení portu a SSL certifikátu pro SSL-VPN

Obrázek 24.2. Nastavení portu a SSL certifikátu pro SSL-VPN


Výchozím portem pro rozhraní SSL-VPN je port 443 (jedná se o standardní port služby HTTPS).

Tlačítkem Změnit SSL certifikát lze vytvořit nový certifikát pro službu SSL-VPN nebo importovat certifikát vystavený důvěryhodnou certifikační autoritou. Vytvořený certifikát bude uložen do souboru sslvpn.crt a odpovídající privátní klíč do souboru sslvpn.key. Postup vytvoření a importu certifikátu je stejný jako v případě WWW rozhraní WinRoute nebo VPN serveru a je podrobně popsán v kapitole 11.1  Volby pro WWW rozhraní.

Tip

Certifikát vystavený certifikační autoritou na konkrétní jméno serveru lze použít zároveň pro WWW rozhraní, VPN server i službu SSL-VPN — není třeba mít tři různé certifikáty.

Povolení přístupu z Internetu

Přístup z Internetu k rozhraní SSL-VPN je třeba explicitně povolit definicí komunikačního pravidla povolujícího připojení ke službě HTTPS na firewallu. Podrobnosti viz kapitola 7.4  Základní typy komunikačních pravidel.

Komunikační pravidlo povolující přístup k rozhraní SSL-VPN

Obrázek 24.3. Komunikační pravidlo povolující přístup k rozhraní SSL-VPN


Poznámka: V případě změny portu rozhraní SSL-VPN je třeba upravit také položku Služba v tomto pravidle!

Antivirová kontrola

Je-li ve WinRoute aktivní alespoň jeden antivirus (viz kapitola 13  Antivirová kontrola), pak může být prováděna antivirová kontrola souborů přenášených rozhraním SSL-VPN.

Ve výchozí konfiguraci se provádí pouze kontrola souborů nahrávaných na počítače ve vzdálené privátní síti.. Na soubory stahované ze vzdálené sítě na lokální počítač se z důvodu rychlosti antivirová kontrola neaplikuje (soubory z privátní sítě jsou považovány za důvěryhodné). Nastavení antivirové kontroly lze změnit v konfiguraci antivirů — viz kapitola 13.5  Kontrola souborů přenášených Clientless SSL-VPN.