Lab 21.1 WEBVPN với Portforwding và Smart Tunnel

root · 09/12/2014

Bài lab này sử dụng trên ASA 8.4 trở lên. Tuy nhiên vẫn áp dụng được cho các ASA có version cũ hơn nếu bạn biết biến đổi 1 chút. Tuy nhiên đã có 1 bài lab cho ASA 8.2 sử dụng console các bạn có thể tham khảo thêm trong forum nhé

I. Mô hình
1. Mô hình triển khai

2. Yêu cầu:
- Khi client dùng trình duyệt web và quay VPN về ASA client có thể truy cập các ứng dụng Windows server 2003 như sau, theo 2 cách sau:
- Cách 1: Port Forwarding:

Remote Desktop: 127.0.0.1:4000
Telnet: 127.0.0.1:4023
WWW: 127.0.0.1:4080

- Cách 2: Smart Tunnel:

Remote Desktop: 192.168.56.10
Telnet: 192.168.56.10
WWW: 192.168.56.10

II. Yêu cầu:
1. Cấu hình IP
- Cấu hình IP trên ASA

[TABLE="class: outer_border, width: 600"]
[TR]
[TD]// interface outside kết nối ra internet
ciscoasa(config)# int g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip add 151.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown

// interface inside kết nối với WIndows server 2003
ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip add 192.168.56.254 255.255.255.0
ciscoasa(config-if)# no shut

// interface DMZ để kết nối với TFTP server
ciscoasa(config-if)# int g2
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# ip add 192.168.80.131 255.255.255.0
ciscoasa(config-if)# no shut[/TD]
[/TR]
[/TABLE]

- Kiểm tra kết nối giữa ASA và TFTP server

Mã:

ciscoasa(config-if)#[COLOR=#ff0000][B] ping 192.168.80.1[/B][/COLOR]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.80.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

2. Cài đặt ASDM
- Cài đặt ASDM trên ASA 8.4 các bạn có thể tham khảo tại đây nhé http://svuit.vn/lab-71/cai-dat-asdm-cho-asa-tren-gns3-ver-0-8-6-a-196.html

Mã:

ciscoasa(config-if)# [COLOR=#ff0000]copy tftp: flash:[/COLOR]


Address or name of remote host []? [COLOR=#ff0000]192.168.80.1[/COLOR]


Source filename []? [COLOR=#ff0000]asdm-647.bin[/COLOR]


Destination filename [asdm-647.bin]?


Accessing tftp://192.168.80.1/asdm-647.bin...!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

- Cấu hình cài đặt ASDM và tạo user để login vào ASDM

[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ciscoasa(config)# asdm image disk0:/asdm-647.bin
ciscoasa(config)# http server enable
ciscoasa(config)# http 192.168.80.0 255.255.255.0 dmz

ciscoasa(config)# username svuit password svuit.vn privilege 15[/TD]
[/TR]
[/TABLE]

- Client vùng DMZ truy cập vào ASA để cài đặt ASDM https://192.168.80.131

- Tiến hành cài đặt ASDM cho client để quản trị ASA bằng ASDM

3. Cấu hình Port Forwarding
- Cấu hình port forwarding với các port là các ứng dụng mà server inside mở để client ngoài internet khi VPN có thể kết nối vào. Ở đây mình sẽ mở 3 ứng dụng

Remote Desktop
Web
Telnet

4. Cấu hình Plug-in
- Plug-in là chương trình Java hoạt động trên trình duyệt web. Cho phép sử dụng các ứng dụng Java thông qua các plug-in được Import. Hỗ trợ các ứng dụng đã được định nghĩa sắn như: SSH, Telnet, VNC, RDP...
- Các bạn có thể download plug-in RDP tại đây: https://docs.google.com/file/d/0B6-...Zi00OGNlLTlkMDEtNGU5MzAxNmFmNDI4/edit?ddrp=1#
- Các bạn xác định giao thức và đường dẫn của plug-in mà các bạn đã download ở trên và import vào như hình

5. Cấu hình Smart-Tunnel
- Smart-Tunnel hỗ trợ các ứng dụng chạy trên nền TCP. Các bạn cần xác định trước chương trình thực thi cho ứng dụng
Ví du: mstsc.exe là chương trình thực thi cho ứng dụng Remote Desktop

6. Cấu hình Group policy
- Cấu hình group policy để áp các chính sách cho client khi VPN

7. Cấu hình Connect Profile
- Định nghĩa Alias và thực hiện kết hợp với Connection Profile.
- Kích hợp Webvpn trên interface outside của ASA

root · 09/12/2014

III. Kiểm tra
- Client ngoài internet truy sử dụng trình duyệt web và quay VPN với IP cổng outside của ASA: https://151.1.1.1
- Các bạn login vào với username: svuit đã tạo ở trên nhé

1. Port Forwarding
- Bây giờ chúng ta sẽ truy cập vào các ứng dụng bằng cách 1 trước nhé

- Nó sẽ yêu cầu các bạn cài đặt Java

- Sau khi cài đặt Java xong các bạn sẽ thấy nó hiện ra bảng thông tin các ứng dụng và các port để client VPN có thể thực hiện truy cập

- Chúng ta sẽ thực hiện Remote Desktop trước với địa chi là 127.0.0.1 và port là 4000. Khi remote thành công các bạn sẽ thấy trên bảng thông tin port có bytes out và bytes in sẽ tăng lên

- Tiếp theo chúng ta sẽ kiểm tra telnet với địa chi là 127.0.0.1 và port là 4023. Và như hình dưới mình đã telnet vào server 2003 trong inside của ASA thành công

- Sau đó chúng ta sẽ kiểm tra truy cập web với địa chỉ là 127.0.0.1 và port là 4080. Như hình dưới đây cho thấy mình đã truy cập thành công

root · 09/12/2014

2. Smart-Tunnel
- Quay lai chỗ trình duyệt web các bạn chọn qua Smart-Tunnel để thực hiện tiếp các kiểm tra nhé

- Khi sử dụng lựa chọn này các bạn sẽ thấy trên trình duyệt web các thông số bytes sent, bytes receive... ngay tại đây

- Khác với port forwarding khi các bạn muốn truy cập Remote Desktop các bạn sử dụng IP của server đó: 192.168.56.10
- Và khi bạn thực hiện Remote Desktop thành công, các bạn sẽ thấy các byte Sent và Receive... sẽ nhảy

- Tương tự khi các bạn thực hiện telnet với IP: 192.168.56.10

- Tiếp theo là kiểm tra truy cập web

nontakjaba · 10/12/2017

Cam on ban da chia se

Lab 21.1 WEBVPN với Portforwding và Smart Tunnel

root

Specialist

root

Specialist

root

Specialist

nontakjaba

Intern