24.1  Konfigurace SSL-VPN ve WinRoute

Podmínky pro správnou funkci rozhraní SSL-VPN

Pro správnou funkci rozhraní SSL-VPN musejí být splněny tyto podmínky:

  1. Počítač s WinRoute musí být členem příslušné domény (Windows NT nebo Active Directory).

  2. Uživatelské účty, které budou používány k přihlášení do SSL-VPN, musí být ověřovány v této doméně (nelze použít lokální ověřování). Z toho vyplývá, že rozhraní SSL-VPN nelze použít pro přístup ke sdíleným prostředkům ve více doménách ani k prostředkům na počítačích, které nejsou členy žádné domény.

  3. Uživatelům, kteří mají mít do rozhraní SSL-VPN přístup, musí být ve WinRoute uděleno právo používat Clientless SSL-VPN (viz kapitola 15.2  Lokální uživatelské účty).

  4. Je-li WinRoute nainstalován na doménovém serveru, pak musí být příslušným uživatelům povoleno lokální přihlášení na tento server. Lokální přihlášení lze povolit v zásadách zabezpečení doménového serveru (Domain Controller Security Policy). Bližší informace naleznete v Databázi znalostí (v angličtině).

Nastavení parametrů rozhraní SSL-VPN

Rozhraní SSL-VPN lze zapnout nebo vypnout v sekci Konfigurace → Další volby, záložka WWW rozhraní → SSL-VPN.

Konfigurace rozhraní SSL-VPN

Obrázek 24.1. Konfigurace rozhraní SSL-VPN


Tlačítko Upřesnění umožňuje nastavit port a SSL certifikát rozhraní SSL-VPN.

Nastavení portu a SSL certifikátu pro SSL-VPN

Obrázek 24.2. Nastavení portu a SSL certifikátu pro SSL-VPN


Výchozím portem pro rozhraní SSL-VPN je port 443 (jedná se o standardní port služby HTTPS).

Tlačítkem Změnit SSL certifikát lze vytvořit nový certifikát pro službu SSL-VPN nebo importovat certifikát vystavený důvěryhodnou certifikační autoritou. Vytvořený certifikát bude uložen do souboru sslvpn.crt a odpovídající privátní klíč do souboru sslvpn.key. Postup vytvoření a importu certifikátu je stejný jako v případě WWW rozhraní WinRoute nebo VPN serveru a je podrobně popsán v kapitole 11.1  Volby pro WWW rozhraní.

Tip

Certifikát vystavený certifikační autoritou na konkrétní jméno serveru lze použít zároveň pro WWW rozhraní, VPN server i službu SSL-VPN — není nutné mít tři různé certifikáty.

Povolení přístupu z Internetu

Přístup z Internetu k rozhraní SSL-VPN je třeba explicitně povolit definicí komunikačního pravidla povolujícího připojení ke službě HTTPS na firewallu. Podrobnosti viz kapitola 7.4  Základní typy komunikačních pravidel.

Komunikační pravidlo povolující přístup k rozhraní SSL-VPN

Obrázek 24.3. Komunikační pravidlo povolující přístup k rozhraní SSL-VPN


Poznámka: V případě změny portu rozhraní SSL-VPN je třeba upravit také položku Služba v tomto pravidle!

Antivirová kontrola

Je-li ve WinRoute aktivní alespoň jeden antivirus (viz kapitola 13  Antivirová kontrola), pak může být prováděna antivirová kontrola souborů přenášených rozhraním SSL-VPN.

Ve výchozí konfiguraci se provádí pouze kontrola souborů nahrávaných na počítače ve vzdálené privátní síti.. Na soubory stahované ze vzdálené sítě na lokální počítač se z důvodu rychlosti antivirová kontrola neaplikuje (soubory z privátní sítě jsou považovány za důvěryhodné). Nastavení antivirové kontroly lze změnit v konfiguraci antivirů — viz kapitola 13.5  Kontrola souborů přenášených Clientless SSL-VPN (Windows).