[Lab 16.6] Clientless ssl vpn cisco asa - webvpn

  • Thread starter Thread starter root
  • Ngày gửi Ngày gửi
root

root

Specialist

Clientless ssl vpn cisco asa - webvpnCissco ASA


I. Mô hình và yêu cầu
1. Mô hình

2. Yêu cầu
- Client bên ngoài internet truy cập VPN vào ASA bằng https://151.1.1.1
- Cấu hình ftp và http server để client có thể sử dụng
- Sơ đồ IP:
ASAg0
g1		nameif: outside, IP: 151.1.1.1/24
nameif: inside, IP: 192.168.10.1/24
Router ISPf0/0
f0/1
f1/0		IP: 151.1.1.254/24
IP: 152.2.2.254/24
IP: DHCP
Web server
Ftp Server		IP: 192.168.10.10/24
Gateway: 192.168.10.1
PC2 IP: 152.2.2.20/24
Gateway: 152.2.2.254

II. Triển khai
1. Trên Router ISP
- Cấu hình IP và NAT
Mã: 
ISP(config-if)#int f0/0
ISP(config-if)#ip address 151.1.1.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address 152.2.2.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f1/0
ISP(config-if)#ip address dhcp

ISP(config)#ip access-list extended NAT
ISP(config-ext-nacl)#deny ip 152.2.2.0 255.255.255.0 151.1.1.1 255.255.255.0
ISP(config-ext-nacl)#permit ip any any

ISP(config)#ip nat inside source list NAT interface FastEthernet1/0 overload

ISP(config)#int f1/0
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/1
ISP(config-if)#ip nat inside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside

2. Trên ASA
- Cấu hình IP và default-route về ISP
Mã: 
ASA2(config-if)# int g0
ASA2(config-if)# nameif outside
ASA2(config-if)# ip address 151.1.1.1 255.255.255.0
ASA2(config-if)# no shutdown

ASA2(config-if)# int g1
ASA2(config-if)# nameif inside
ASA2(config-if)# ip address 192.168.10.1 255.255.255.0
ASA2(config-if)# no shutdown

ASA2config)# route outside 0 0 151.1.1.254

- Cấu hình Web-VPN
- Bước 1: enable web vpn trên interface outside của ASA
Mã: 
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# enable outside

- Bước 2: ACL cho phép client remote-VPN được truy cập đến web và ftp server
Mã: 
ciscoasa(config)# access-list ACCESS-VPN webtype permit url ftp://192.168.10.10/*
ciscoasa(config)# access-list ACCESS-VPN webtype permit url http://192.168.10.10/*

- Bước 3: Tạo và cấu hình Group-policy. Ở đây bạn có tạo ra và phân quyền cho các group và có thể sử dụng LDAP or ACS để xác thực. Bài lab này mình làm đơn giản nên sẽ dùng user/pass local của ASA
Mã: 
ciscoasa(config)# group-policy WEB-VPN internal
ciscoasa(config)# group-policy WEB-VPN attributes
ciscoasa(config-group-policy)# vpn-tunnel-protocol ssl-clientless
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# url-list none
ciscoasa(config-group-webvpn)# url-entry enable
ciscoasa(config-group-webvpn)# filter value ACCESS-VPN

- Bước 4: Cấu hình tunnel-group
Mã: 
ciscoasa(config)# tunnel-group WEB-VPN type remote-access
ciscoasa(config)# tunnel-group WEB-VPN general-attributes
ciscoasa(config-tunnel-general)# default-group-policy WEB-VPN

- Bước 5: Tạo user/pass để client VPN login
Mã: 
ciscoasa(config)# username svuit password svuit

3. Cấu hình FTP và HTTP server
- Cài đặt Web server và Ftp server trên server 192.168.10.10
- Cấu hình FTP server cho phép client truy cập có quyền Write

246.jpg


4. Kiểm tra
- Client VPN vào ASA theo địa chỉ outside của ASA: https://151.1.1.1
- Login với tài khoản user/pass local tạo trên ASA
247.jpg



- Client truy cập web server 192.168.10.10


248.jpg


- Client truy cập web server thành công


249.jpg


- Client truy cập FTP 192.168.10.10

250.jpg


- CLient truy cập thành công

251.jpg


- Thực hiện upload 1 file lên ftp server

252.jpg


- Upload file thành công

253.jpg
 
Sửa lần cuối:
Bài viết liên quan
Lab 21.2 WEBVPN với Portforwding và Smart Tunnel ASA 8.2 bởi root,
Lab 21.1 WEBVPN với Portforwding và Smart Tunnel bởi root,
Lab 17.3 VPN client to site ASA 8.2 authen with Active Directory Windows 2K8R2 bởi root,
Lab 20.1 Cấu hình Anyconnect VPN trên ASA 8.3 bởi root,
Lab Dual route ISP ASA - Part 2 bởi root,
Lab Dual route ISP ASA - Part 1 bởi root,
Bài viết mới
Lab 21.2 WEBVPN với Portforwding và Smart Tunnel ASA 8.2 bởi root,
Lab 21.1 WEBVPN với Portforwding và Smart Tunnel bởi root,
Lab 17.3 VPN client to site ASA 8.2 authen with Active Directory Windows 2K8R2 bởi root,
Lab 20.1 Cấu hình Anyconnect VPN trên ASA 8.3 bởi root,
Lab Dual route ISP ASA - Part 2 bởi root,
Lab Dual route ISP ASA - Part 1 bởi root,
anh ơi cho em hỏi tí. Nếu em gắn thêm 1 gateway ở trên thì kết nối SSL VPN với PC ở ngoài vẫn là kết nối trực tiếp tới cổng outside của ASA đúng ko anh!
với từ server thuộc vùng dmz (inside) có cần phải ra được internet để thực hiện thiết lập SSL VPN. Vậy tại sao em ping 8.8.8.8 từ server không được.
Mong anh chỉ giáo!!!
 
tiensy993 nói:
anh ơi cho em hỏi tí. Nếu em gắn thêm 1 gateway ở trên thì kết nối SSL VPN với PC ở ngoài vẫn là kết nối trực tiếp tới cổng outside của ASA đúng ko anh!
Nhấn để mở rộng...
- Đúng rồi bạn. Lúc đó bạn cần cấu hình Routing giữa các Router với ASA thôi. Còn kêt nối SSL với PC với y như cấu hình bên trên.

tiensy993 nói:
với từ server thuộc vùng dmz (inside) có cần phải ra được internet để thực hiện thiết lập SSL VPN. Vậy tại sao em ping 8.8.8.8 từ server không được.
Mong anh chỉ giáo!!!
Nhấn để mở rộng...
Việc kết nối SSL VPN sẽ được ASA routing cho phép client đi được những Host hay những Network nào. Đó là tùy vào ACL của mình đưa ra, vì vậy server của bạn có thể ra internet khoặc không.
- Để ping được 8.8.8.8 bạn cần kiểm tra lại routing và NAT để các server bên trong đi ra bên ngoài. Bạn có thể gửi mô hình và yêu cầu để giúp bạn troubleshoot nhé.
 
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top