Lab 21.1 WEBVPN với Portforwding và Smart Tunnel

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
Bài lab này sử dụng trên ASA 8.4 trở lên. Tuy nhiên vẫn áp dụng được cho các ASA có version cũ hơn nếu bạn biết biến đổi 1 chút. Tuy nhiên đã có 1 bài lab cho ASA 8.2 sử dụng console các bạn có thể tham khảo thêm trong forum nhé

I. Mô hình

1. Mô hình triển khai




2. Yêu cầu:

- Khi client dùng trình duyệt web và quay VPN về ASA client có thể truy cập các ứng dụng Windows server 2003 như sau, theo 2 cách sau:
- Cách 1: Port Forwarding:
  • Remote Desktop: 127.0.0.1:4000
  • Telnet: 127.0.0.1:4023
  • WWW: 127.0.0.1:4080
- Cách 2: Smart Tunnel:
  • Remote Desktop: 192.168.56.10
  • Telnet: 192.168.56.10
  • WWW: 192.168.56.10
II. Yêu cầu:
1. Cấu hình IP
- Cấu hình IP trên ASA
// interface outside kết nối ra internet
ciscoasa(config)# int g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip add 151.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown

// interface inside kết nối với WIndows server 2003
ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip add 192.168.56.254 255.255.255.0
ciscoasa(config-if)# no shut

// interface DMZ để kết nối với TFTP server
ciscoasa(config-if)# int g2
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# ip add 192.168.80.131 255.255.255.0
ciscoasa(config-if)# no shut

- Kiểm tra kết nối giữa ASA và TFTP server

Code:
ciscoasa(config-if)#[COLOR=#ff0000][B] ping 192.168.80.1[/B][/COLOR]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.80.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
2. Cài đặt ASDM
- Cài đặt ASDM trên ASA 8.4 các bạn có thể tham khảo tại đây nhé http://svuit.vn/lab-71/cai-dat-asdm-cho-asa-tren-gns3-ver-0-8-6-a-196.html

Code:
ciscoasa(config-if)# [COLOR=#ff0000]copy tftp: flash:[/COLOR]


Address or name of remote host []? [COLOR=#ff0000]192.168.80.1[/COLOR]


Source filename []? [COLOR=#ff0000]asdm-647.bin[/COLOR]


Destination filename [asdm-647.bin]?


Accessing tftp://192.168.80.1/asdm-647.bin...!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
- Cấu hình cài đặt ASDM và tạo user để login vào ASDM

ciscoasa(config)# asdm image disk0:/asdm-647.bin
ciscoasa(config)# http server enable
ciscoasa(config)# http 192.168.80.0 255.255.255.0 dmz

ciscoasa(config)# username svuit password svuit.vn privilege 15

- Client vùng DMZ truy cập vào ASA để cài đặt ASDM https://192.168.80.131



- Tiến hành cài đặt ASDM cho client để quản trị ASA bằng ASDM









3. Cấu hình Port Forwarding
- Cấu hình port forwarding với các port là các ứng dụng mà server inside mở để client ngoài internet khi VPN có thể kết nối vào. Ở đây mình sẽ mở 3 ứng dụng
  • Remote Desktop
  • Web
  • Telnet

4. Cấu hình Plug-in
- Plug-in là chương trình Java hoạt động trên trình duyệt web. Cho phép sử dụng các ứng dụng Java thông qua các plug-in được Import. Hỗ trợ các ứng dụng đã được định nghĩa sắn như: SSH, Telnet, VNC, RDP...
- Các bạn có thể download plug-in RDP tại đây: https://docs.google.com/file/d/0B6-...Zi00OGNlLTlkMDEtNGU5MzAxNmFmNDI4/edit?ddrp=1#
- Các bạn xác định giao thức và đường dẫn của plug-in mà các bạn đã download ở trên và import vào như hình



5. Cấu hình Smart-Tunnel
- Smart-Tunnel hỗ trợ các ứng dụng chạy trên nền TCP. Các bạn cần xác định trước chương trình thực thi cho ứng dụng
Ví du: mstsc.exe là chương trình thực thi cho ứng dụng Remote Desktop


6. Cấu hình Group policy
- Cấu hình group policy để áp các chính sách cho client khi VPN




7. Cấu hình Connect Profile
- Định nghĩa Alias và thực hiện kết hợp với Connection Profile.
- Kích hợp Webvpn trên interface outside của ASA

 
III. Kiểm tra
- Client ngoài internet truy sử dụng trình duyệt web và quay VPN với IP cổng outside của ASA: https://151.1.1.1
- Các bạn login vào với username: svuit đã tạo ở trên nhé



1. Port Forwarding
- Bây giờ chúng ta sẽ truy cập vào các ứng dụng bằng cách 1 trước nhé


- Nó sẽ yêu cầu các bạn cài đặt Java





- Sau khi cài đặt Java xong các bạn sẽ thấy nó hiện ra bảng thông tin các ứng dụng và các port để client VPN có thể thực hiện truy cập



- Chúng ta sẽ thực hiện Remote Desktop trước với địa chi là 127.0.0.1 và port là 4000. Khi remote thành công các bạn sẽ thấy trên bảng thông tin port có bytes out và bytes in sẽ tăng lên





- Tiếp theo chúng ta sẽ kiểm tra telnet với địa chi là 127.0.0.1 và port là 4023. Và như hình dưới mình đã telnet vào server 2003 trong inside của ASA thành công




- Sau đó chúng ta sẽ kiểm tra truy cập web với địa chỉ là 127.0.0.1 và port là 4080. Như hình dưới đây cho thấy mình đã truy cập thành công



2014-12-09_000551.jpg
 
2. Smart-Tunnel
- Quay lai chỗ trình duyệt web các bạn chọn qua Smart-Tunnel để thực hiện tiếp các kiểm tra nhé

2014-12-09_000552.jpg

- Khi sử dụng lựa chọn này các bạn sẽ thấy trên trình duyệt web các thông số bytes sent, bytes receive... ngay tại đây

2014-12-09_000655.jpg

- Khác với port forwarding khi các bạn muốn truy cập Remote Desktop các bạn sử dụng IP của server đó: 192.168.56.10
- Và khi bạn thực hiện Remote Desktop thành công, các bạn sẽ thấy các byte Sent và Receive... sẽ nhảy

2014-12-09_000811.jpg

- Tương tự khi các bạn thực hiện telnet với IP: 192.168.56.10

2014-12-09_000900.jpg


2014-12-09_000930.jpg

- Tiếp theo là kiểm tra truy cập web

2014-12-09_000951.jpg
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu