cjh 12.2.3 思科ASA:思科ASA的SSLVPN配置(厚客户端AnyConnectVPN,网络层模型,会产生虚拟网卡)配置隧道分离split-tunnel
12.2.3 思科ASA:思科ASA的SSLVPN配置(厚客户端AnyConnectVPN,网络层模型,会产生虚拟网卡)配置隧道分离split-tunnel
拓扑图
(1)PC1配置好WEB与FTP服务
(2.1)配置管理接口的ip地址、安全区域与配置ASDM访问
interface Ethernet0
nameif manager
security-level 90
ip address 10.12.5.5 255.255.0.0
no shutdown
(2.2)访问规则:允许所有
命令行配置:permit any any
ciscoasa(config)# access-list global_access_1 extended permit ip any any
ciscoasa(config)# access-group global_access_1 global
access-list global_access_1 extended permit ip any any
access-group global_access_1 global
(2.3)配置ASDM来管理ASA防火墙 (图形化界面管理防火墙)
ciscoasa(config)# username admin password admin privilege 15 //创建15级帐户
ciscoasa(config)# http server enable
ciscoasa(config)# http 0.0.0.0 0.0.0.0 manager //开启http的访问的范围
username admin password admin privilege 15
http server enable
http 0.0.0.0 0.0.0.0 manager
(2.4)ASA配置业务接口
interface Ethernet1
nameif inside
security-level 80
ip address 192.168.1.254 255.255.255.0
no shutdown
!
!
interface Ethernet2
nameif outside
security-level 20
ip address 11.11.11.1 255.255.255.0
no shutdown
(2.5)ASA配置默认路由
route outside 0.0.0.0 0.0.0.0 11.11.11.254 1
(3)配置ISP路由器:
interface GigabitEthernet0/0
ip address 11.11.11.254 255.255.255.0
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1
ip address 200.200.200.254 255.255.255.0
duplex auto
speed auto
media-type rj45
(4)设置SSL VPN验证账户密码
asa1(config)# username user1 password cisco privilege 0
(5)把pkg文件上传到ASA上
各种操作系统的Web部署文件名:
Microsoft Windows OS - AnyConnect-win-<version>-k9.pkg
Macintosh (MAC) 操作系统 - AnyConnect-macosx-i386-<version>-k9.pkg
Linux 操作系统 - AnyConnect-linux-<version>-k9.pkg
ftp服务器的ip地址为10.12.11.102
ASA配置连接ftp服务器:
mount a type ftp
server 10.12.11.102
username admin
password 123456
mode passive
status enable
ciscoasa# copy ftp disk0:
Address or name of remote host [10.12.11.102]? 10.12.11.102
Source filename [anyconnect-win-3.1.03103-k9.pkg]?
Destination filename [anyconnect-win-3.1.03103-k9.pkg]?
Accessing ftp://10.12.11.102/anyconnect-win-3.1.03103-k9.pkg...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
(6)安装imgge
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# anyconnect image flash:/anyconnect-win-3.1.03103-k9.pkg
ciscoasa(config-webvpn)# anyconnect enable
(7)配置vpn使用的pool
ciscoasa(config)# ip local pool pool1 10.10.10.100-10.10.10.199
!ip local pool pool1 10.10.10.100-10.10.10.199 mask 255.255.255.0 建议把mask加上,要不10开关的默认掩为255.0.0.0
(8.1)创建本地组策略名字g1
ciscoasa(config)# group-policy g1 internal
(8.2)配置本地组策略属性
ciscoasa(config)# group-policy g1 attributes
ciscoasa(config-group-policy)# vpn-tunnel-protocol ssl-client ssl-clientless
ciscoasa(config-group-policy)# address-pools value pool1
(8.3)配置user1的相关属性
ciscoasa(config)# username user1 attributes
ciscoasa(config-username)# vpn-group-policy g1
配置隧道组
(9.1)创建隧道组名字为g1,VPN类型为webvpn
asa1(config)# tunnel-group t1 webvpn-attributes
(9.2)配置隧道组属性
ciscoasa(config-tunnel-webvpn)# tunnel-group t1 general-attributes
(9.3)隧道组调用本地组测率
ciscoasa(config-tunnel-general)# default-group-policy g1
(9.4)配置验证使用本地验证
asa1(config-tunnel-general)# authentication-server-group LOCAL
配置下拉列表
(10.1)隧道组指定下拉列表名字为benet.com
asa1(config)# tunnel-group t1 webvpn-attributes
asa1(config-tunnel-webvpn)# group-alias zh-cjh.com enable
(10.2)开启下俩列表
asa1(config)# webvpn
asa1(config-webvpn)# tunnel-group-list enable
(11)启用基于SSL协议的VPN连接
asa1(config)# webvpn
asa1(config-webvpn)# enable outside
INFO: WebVPN and DTLS are enabled on 'outside'.
asa1(config-webvpn)# exit
(12)使用浏览器给访问SSL VPN
使用浏览器访问SSL VPN服务器
登录失败:
clientless(browser) ssl vpn access is not allowed
尝试登录失败后,浏览器中显示“Clientless (browser) SSL VPN access is not allowed.” (不允许无客户端(浏览器)SSL VPN 访问。)消息。如果显示“Premium AnyConnect license is not enabled on the ASA.”(ASA 上未启用高级 AnyConnect 许可证)消息,则表明 AnyConnect 高级版许可证未安装在 ASA 上或未使用。
解决方案
使用以下命令启用高级 AnyConnect 许可证:
asa1(config)# webvpn
asa1(config-webvpn)# no anyconnect-essentials
在PC2上测试:登录成功
安装或者下载到电脑上再进行安装:
(13)测试(vpn连接成功)
连接中
(14)查看
show vpn-sessiondb full anyconnect
show vpn-sessiondb full webvpn
ciscoasa# show vpn-sessiondb license-summary
(15)配置上dns
group-policy g1 attributes
dns-server value 114.114.114.114 8.8.8.8
效果:
(16)隧道分离split-tunnel:除了到vpn server的ip的流量,其他的所有流量全部走向了vpn隧道:
从上图,电脑的路由表中可以看出,所有的流量默认从vpn走。
可以配置隧道分离,让部分流量走vpn, 其他流量默认走本地网络的出口。
默认是匹配所有流量:
access-list ACL_192.168.1.x standard permit 192.168.1.0 255.255.255.0
group-policy g1 attributes
dns-server value 114.114.114.114 8.8.8.8
vpn-tunnel-protocol ssl-client ssl-clientless
split-tunnel-policy tunnelspecified //配置Tunnel Network List Below
split-tunnel-network-list value ACL_192.168.1.x
default-domain none
split-tunnel-all-dns disable
address-pools value pool1
注意:隧道分离配置标准ACL, 测试时使用扩展ACL不生效。
思科Cisco ASA防火墙(列表、list、全)asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 12.2.3 思科ASA:思科ASA的SSLVPN配置(厚客户端AnyConnectVPN,网络层模型,会产生虚拟网卡)配置隧道分离split-tunnel
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm