[Lab 16.6] Clientless ssl vpn cisco asa - webvpn

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Clientless ssl vpn cisco asa - webvpnCissco ASA


I. Mô hình và yêu cầu
1. Mô hình

2. Yêu cầu
- Client bên ngoài internet truy cập VPN vào ASA bằng https://151.1.1.1
- Cấu hình ftp và http server để client có thể sử dụng
- Sơ đồ IP:
ASAg0
g1
nameif: outside, IP: 151.1.1.1/24
nameif: inside, IP: 192.168.10.1/24
Router ISPf0/0
f0/1
f1/0
IP: 151.1.1.254/24
IP: 152.2.2.254/24
IP: DHCP
Web server
Ftp Server
IP: 192.168.10.10/24
Gateway: 192.168.10.1
PC2 IP: 152.2.2.20/24
Gateway: 152.2.2.254

II. Triển khai
1. Trên Router ISP
- Cấu hình IP và NAT
Code:
ISP(config-if)#int f0/0
ISP(config-if)#ip address 151.1.1.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address 152.2.2.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f1/0
ISP(config-if)#ip address dhcp

ISP(config)#ip access-list extended NAT
ISP(config-ext-nacl)#deny ip 152.2.2.0 255.255.255.0 151.1.1.1 255.255.255.0
ISP(config-ext-nacl)#permit ip any any

ISP(config)#ip nat inside source list NAT interface FastEthernet1/0 overload

ISP(config)#int f1/0
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/1
ISP(config-if)#ip nat inside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside

2. Trên ASA
- Cấu hình IP và default-route về ISP
Code:
ASA2(config-if)# int g0
ASA2(config-if)# nameif outside
ASA2(config-if)# ip address 151.1.1.1 255.255.255.0
ASA2(config-if)# no shutdown

ASA2(config-if)# int g1
ASA2(config-if)# nameif inside
ASA2(config-if)# ip address 192.168.10.1 255.255.255.0
ASA2(config-if)# no shutdown

ASA2config)# route outside 0 0 151.1.1.254

- Cấu hình Web-VPN
- Bước 1: enable web vpn trên interface outside của ASA
Code:
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# enable outside

- Bước 2: ACL cho phép client remote-VPN được truy cập đến web và ftp server
Code:
ciscoasa(config)# access-list ACCESS-VPN webtype permit url ftp://192.168.10.10/*
ciscoasa(config)# access-list ACCESS-VPN webtype permit url http://192.168.10.10/*

- Bước 3: Tạo và cấu hình Group-policy. Ở đây bạn có tạo ra và phân quyền cho các group và có thể sử dụng LDAP or ACS để xác thực. Bài lab này mình làm đơn giản nên sẽ dùng user/pass local của ASA
Code:
ciscoasa(config)# group-policy WEB-VPN internal
ciscoasa(config)# group-policy WEB-VPN attributes
ciscoasa(config-group-policy)# vpn-tunnel-protocol ssl-clientless
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# url-list none
ciscoasa(config-group-webvpn)# url-entry enable
ciscoasa(config-group-webvpn)# filter value ACCESS-VPN

- Bước 4: Cấu hình tunnel-group
Code:
ciscoasa(config)# tunnel-group WEB-VPN type remote-access
ciscoasa(config)# tunnel-group WEB-VPN general-attributes
ciscoasa(config-tunnel-general)# default-group-policy WEB-VPN

- Bước 5: Tạo user/pass để client VPN login
Code:
ciscoasa(config)# username svuit password svuit

3. Cấu hình FTP và HTTP server
- Cài đặt Web server và Ftp server trên server 192.168.10.10
- Cấu hình FTP server cho phép client truy cập có quyền Write

246.jpg


4. Kiểm tra
- Client VPN vào ASA theo địa chỉ outside của ASA: https://151.1.1.1
- Login với tài khoản user/pass local tạo trên ASA
247.jpg



- Client truy cập web server 192.168.10.10


248.jpg


- Client truy cập web server thành công


249.jpg


- Client truy cập FTP 192.168.10.10

250.jpg


- CLient truy cập thành công

251.jpg


- Thực hiện upload 1 file lên ftp server

252.jpg


- Upload file thành công

253.jpg
 
Last edited:
anh ơi cho em hỏi tí. Nếu em gắn thêm 1 gateway ở trên thì kết nối SSL VPN với PC ở ngoài vẫn là kết nối trực tiếp tới cổng outside của ASA đúng ko anh!
với từ server thuộc vùng dmz (inside) có cần phải ra được internet để thực hiện thiết lập SSL VPN. Vậy tại sao em ping 8.8.8.8 từ server không được.
Mong anh chỉ giáo!!!
 
anh ơi cho em hỏi tí. Nếu em gắn thêm 1 gateway ở trên thì kết nối SSL VPN với PC ở ngoài vẫn là kết nối trực tiếp tới cổng outside của ASA đúng ko anh!
- Đúng rồi bạn. Lúc đó bạn cần cấu hình Routing giữa các Router với ASA thôi. Còn kêt nối SSL với PC với y như cấu hình bên trên.

với từ server thuộc vùng dmz (inside) có cần phải ra được internet để thực hiện thiết lập SSL VPN. Vậy tại sao em ping 8.8.8.8 từ server không được.
Mong anh chỉ giáo!!!
Việc kết nối SSL VPN sẽ được ASA routing cho phép client đi được những Host hay những Network nào. Đó là tùy vào ACL của mình đưa ra, vì vậy server của bạn có thể ra internet khoặc không.
- Để ping được 8.8.8.8 bạn cần kiểm tra lại routing và NAT để các server bên trong đi ra bên ngoài. Bạn có thể gửi mô hình và yêu cầu để giúp bạn troubleshoot nhé.
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu