在ASA防火墙上实现SSL-VPN(胖客户端模式)

实验拓扑:

图中R2模拟公网,假设某公司有一个服务器C2(windows server 2008系统,ip地址为192.168.10.2)公司的某员工需要远程访问这台服务器,C1为该员工用的客户端电脑(windows XP系统),R1是192.168.1.0内网的出口路由

实验要求:

1、192.168.1.0和192.168.10.0两个内网可以访问公网

2、在防火墙上用胖客户端模式做SSL-VPN实现C1可以访问C2

实验步骤:

首先为每个设备配置ip地址和路由

R1(config-if)#int f0/0

R1(config-if)#ip add 11.0.0.2 255.255.255.0

R1(config-if)#no shut

R1(config-if)#int f0/1

R1(config-if)#ip add 192.168.2.1 255.255.255.0

R1(config-if)#no shut

R1(config)#ip route 0.0.0.0 0.0.0.0 11.0.0.1

R2(config)#int f0/0

R2(config-if)#ip add 11.0.0.1 255.255.255.0

R2(config-if)#no shut

R2(config-if)#int f0/1

R2(config-if)#ip add 12.0.0.1 255.255.255.0

R2(config-if)#no shut

//R2因为是模拟的公网,只需要配置ip地址即可不需要配置路由,公网是没有公司内网的路由的

R4(config)#int f0/0

R4(config-if)#ip add 192.168.2.2 255.255.255.0

R4(config-if)#no shut

R4(config-if)#int f0/1

R4(config-if)#ip add 192.168.1.1 255.255.255.0

R4(config-if)#no shut

R4(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1

ciscoasa(config)# int e0/0

ciscoasa(config-if)# nameif outside

ciscoasa(config-if)# ip add 12.0.0.2 255.255.255.0

ciscoasa(config-if)# no shut

ciscoasa(config-if)#

ciscoasa(config-if)# int e0/1

ciscoasa(config-if)# nameif inside

ciscoasa(config-if)# ip add 192.168.10.1 255.255.255.0

ciscoasa(config-if)# no shut

ciscoasa(config)# route outside 0 0 12.0.0.1

这样整个公网就可以互通了

要想内网可以访问公网可以在出口设备上做PAT来实现,在R1和ASA防火墙上分别做PAT

R1(config)#access-list 1 permit any

R1(config)#ip nat inside source list 1 int f0/0 overload

R1(config)#int f0/1

R1(config-if)#ip nat inside

R1(config-if)#int f0/0

R1(config-if)#ip nat outside

R1(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.2

//在R1上要配置一个静态路由到192.168.1.0网段,不然是ping不通的,因为没有回程路由

ciscoasa(config)# nat (inside) 1 192.168.10.0 255.255.255.0

ciscoasa(config)# global (outside) 1 interface

ciscoasa(config)# access-list icmp permit icmp any any

ciscoasa(config)# access-group icmp in int outside

//这个ACL是为了验证可以ping通,允许外面的流量进入ASA防火墙

这样两边的内网都可以访问公网了,如下图

因为胖客户端模式是在用户的计算机上安装客户端来实现的,所以要指定客户端,这里需要用tftp方式把客户端上传到ASA防火墙上

ciscoasa(config)# copy tftp: flash:

Address or name of remote host []? 192.168.10.2

Source filename []? sslclient-win-1.1.3.173.pkg

Destination filename [sslclient-win-1.1.3.173.pkg]?

Accessing tftp://192.168.10.2/sslclient-win-

1.1.3.173.pkg...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!

Writing file disk0:/sslclient-win-1.1.3.173.pkg...

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!

416354 bytes copied in 1.540 secs (416354 bytes/sec)

客户端软件已经上传到防火墙上,下面开始SSL-VPN的具体配置了

ciscoasa(config)# webvpn //进入webvpn配置视图

ciscoasa(config-webvpn)# enable outside //在outside口上启用webvpn

ciscoasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.3.173.pkg //指定客户端软件

ciscoasa(config-webvpn)# svc enable //启用胖客户端访问

ciscoasa(config-webvpn)# tunnel-group-list enable //使用户可以选择组列表

username shengjie password abc123 //SSL VPN是对用户进行认证的,所以这里定义远程访问的用户名和密码,用户名必须要4个或以上的字母否则会报错

ciscoasa(config)# access-list 110 extended permit ip 192.168.10.0 255.255.255.0 any //定义客户端的感兴趣流,因为客户端是不固定的地址所以是any

ciscoasa(config)# ip local pool vip 192.168.10.100-192.168.10.200 mask 255.255.255.0 //配置客户端访问时获得的ip地址的地址池,地址池的名字为vip

ciscoasa(config)# group-policy sslvpn internal //定义组策略

ciscoasa(config)# group-policy sslvpn attributes //定义各种属性

ciscoasa(config-group-policy)# dns-server value 192.168.10.2 //定义内网DNS地址

ciscoasa(config-group-policy)# vpn-tunnel-protocol svc webvpn //指定隧道类型 svc为胖客户端模式的SSL VPN,并开启胖客户端,如果没有这个命令的话,在网页访问时就不会有下载安装软件的链接

ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified //开启隧道分离

ciscoasa(config-group-policy)# split-tunnel-network-list value 110 //调用感兴趣流

ciscoasa(config-group-policy)# address-pool value vip //调用地址池

ciscoasa(config-group-policy)# split-dns value benet.com //配置dns分离的域名,当访问benet.com时去访问192.168.10.2这个内部的dns服务器

ciscoasa(config-group-policy)# webvpn

ciscoasa(config-group-webvpn)# svc ask enable  //开启客户端下载

ciscoasa(config-group-webvpn)# url-entry disable //关闭浏览器中的HTTP和https的方式访问内网

ciscoasa(config-group-webvpn)# file-entry disable //关闭FTP和共享访问

ciscoasa(config)# tunnel-group sslg type remote-access //定义隧道组sslg为webvpn

ciscoasa(config)# tunnel-group sslg general-attributes //定义各种属性

ciscoasa(config-tunnel-general)# default-group-policy sslvpn //调用组策略

ciscoasa(config-tunnel-general)# tunnel-group sslg webvpn-attributes //下拉列表里要显示的名字

ciscoasa(config-tunnel-webvpn)# group-alias testssl enable //启用别名,登陆时下拉列表实际显示为testssl

验证实验结果:

在客户端的浏览器中输入https://12.0.0.2访问防火墙的出口地址

点击login登陆之后可以看到start anyconnect链接,点击就可以下载客户端了

下载完成之后在电脑任务栏的右边会显示一个钥匙表示客户端已安装成功

点击钥匙图标打开客户端,可以看到详细的配置信息和状态

时间: 2024-10-25 18:15:49

在ASA防火墙上实现SSL-VPN(胖客户端模式)的相关文章

如何在ASA防火墙上实现ipsec vpn

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 本文章介绍三个部分内容: ①ipsec vpn故障排查 ②如何在ASA防火墙上配置ipsec VPN ③防火墙与路由器配置ipsec VPN的区别 说明:在ASA防火墙配置ipsec VPN与路由器的差别不是很大,而且原理相同,就是个别命令不一样. 一.ipsec VPN故障排查 1.show crypto isakmp sa命令 通过这

ASA防火墙上配置IPSEC VPN和SSL VPN

二:实验要求:1:PC1属于上海分公司内网主机,PC2属于总公司主机.要求上海分公司的用户直接可以和总公司的PC2通信.(Site-to-Site IPSEC VPN实现) 2:公网上用户可以访问总公司的OA服务器PC2.(SSL VPN实现)三:配置过程:1:基本配置:ASA1(config)# int e0/1ASA1(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.A

SSL VPN 胖客户端配置

access-list 110 extended permit ip 10.0.0.0 255.255.255.0 any //指定客户端感兴趣流 ip local pool vip 10.0.0.50-10.0.0.60 mask 255.255.255.0 //分给客户端的IP ---------------------------svc镜像设置----------------------------- webvpn enable outside //开启 svc image disk0:/

SSL VPN的胖客户端模式配置操作全过程

拓扑图如下所示:ASA防火墙作为企业内部的一台出口网关兼硬件防火墙设备,内部服务器server 2008服务器提供web服务. 中间是模拟ISP运行商,右边是作为公网上的一台路由器,下面是公网上面的一台普通客户机,这里使用的是XP系统. 首先如果是GNS3模拟器SW1需要关闭路由功能. ISP运营商还是只需要配置IP地址即可(过程略). R3上面作为公网上的一台出口网关路由器,配置DHCP地址分配和NAT地址转换功能.如下所示: R3(config)#int fa0/0 R3(config-if

ASA防火墙上做基于域名的URL过滤

实验 实验拓扑图: 实验环境:   在server2008服务器上搭建WEB网站和DNS服务,分别创建域名为benet.com和accp.com两个网站.   实验要求:   首先客户端可以访问服务器上的两个网站,成功后在防火墙上做URL过滤使客户端无法访问accp.com网站.   实验步骤: 首先在ASA防火墙上配置各区域名称和IP地址:   ciscoasa(config)# int e0/0 ciscoasa(config-if)# nameif inside ciscoasa(conf

在Cisco的ASA防火墙上实现IPSec虚拟专用网

博文大纲: 一.网络环境需求 二.配置前准备 三.配置虚拟专用网 四.总结 前言: 之前写过一篇博文:Cisco路由器之IPSec 虚拟专用网,那是在公司网关使用的是Cisco路由器的情况下,来搭建虚拟专用网的,那么公司网关若是Cisco的ASA防火墙呢?就让这篇博文来带你配置一下. 注:虚拟专用网:(Virtual Private Network),请看英文的首字母,就知道是什么咯,由于它是敏/感词汇,所以文中全部使用虚拟专用网来代替 关于其中的知识点及相关概念,都在文章开头的那篇博文链接中介

ASA防火墙上实现IPSec 虚拟专用网

1.虚拟专用网可以通过IPSec 虚拟专用网原理与配置理解虚拟专用网 2.IPsec 虚拟专用网故障排查 (show crypto isakmp)通过它可以了解管理连接所处的状态 (debug crypto isakmp ) 通过该命令是实际工作中最常用于诊断和排查管理连接出现问题的命令 3.防火墙与路由器的区别 IKE协商默认是否开启默认情况下,IKE协商在路由器中是开启的,而在ASA防火墙中是关闭的 隧道组特性引入 接口安全级别对于IPSec流量的影响 ASA(config)#same-se

SSL VPN 无客户端配置

无客户端模式web访问 webvpn        //启用webvpn功能// enable outside   //调用到外部接口// username zhangsan password 123123  //配置用户名和密码// ----------------组策略------------------------------ group-policy gpolicy internal   //组策略定义在本地// group-policy gpolicy attributes //定义组

SSL VPN 配置

一.配置环境 前言:SSL VPN一般配置在ASA防火墙上,而且一般用图形界面配置,命令行方式配置太多.这里因为做实验我们使用路由器来配置,路由器ios只能使用7200系列的,下面的实验设备都是用路由器来模拟的 如下图,在路由器上配置SSL VPN,使得客户端client能够通过SSL VPN访问服务器 基础配置:配置IP.路由,server打开http 二.SSL VPN 配置 1.  同步时间 为什么要同步时间:因为证书是有有效期的,如果时间不同步就没用了 方法1:直接设置时间,设置完成后通