12.2.3 思科ASA:思科ASA的SSLVPN配置(厚客户端AnyConnectVPN,网络层模型,会产生虚拟网卡)配置隧道分离split-tunnel

12.2.3 思科ASA:思科ASA的SSLVPN配置(厚客户端AnyConnectVPN,网络层模型,会产生虚拟网卡)配置隧道分离split-tunnel

asa_2022.08.25.01时25分52秒.txt

拓扑图

1.png

(1)PC1配置好WEB与FTP服务

1.png

(2.1)配置管理接口的ip地址、安全区域与配置ASDM访问

interface Ethernet0

 nameif manager

 security-level 90

 ip address 10.12.5.5 255.255.0.0

 no shutdown

 

(2.2)访问规则:允许所有

命令行配置:permit any any

ciscoasa(config)# access-list global_access_1 extended permit ip any any

ciscoasa(config)# access-group global_access_1 global

access-list global_access_1 extended permit ip any any

access-group global_access_1 global

 

(2.3)配置ASDM来管理ASA防火墙 (图形化界面管理防火墙)

ciscoasa(config)# username admin password admin privilege 15    //创建15级帐户

ciscoasa(config)# http server enable

ciscoasa(config)# http 0.0.0.0 0.0.0.0 manager  //开启http的访问的范围

username admin password admin privilege 15

http server enable

http 0.0.0.0 0.0.0.0 manager

 

(2.4)ASA配置业务接口

interface Ethernet1

 nameif inside

 security-level 80

 ip address 192.168.1.254 255.255.255.0

no shutdown

!

!

interface Ethernet2

 nameif outside

 security-level 20

 ip address 11.11.11.1 255.255.255.0

no shutdown

 

(2.5)ASA配置默认路由

route outside 0.0.0.0 0.0.0.0  11.11.11.254 1

 

(3)配置ISP路由器:

interface GigabitEthernet0/0

 ip address 11.11.11.254 255.255.255.0

 duplex auto

 speed auto

 media-type rj45

!

interface GigabitEthernet0/1

 ip address 200.200.200.254 255.255.255.0

 duplex auto

 speed auto

 media-type rj45

 

(4)设置SSL VPN验证账户密码

asa1(config)# username user1 password cisco privilege 0

 

(5)把pkg文件上传到ASA上

各种操作系统的Web部署文件名:

    Microsoft Windows OS - AnyConnect-win-<version>-k9.pkg

    Macintosh (MAC) 操作系统 - AnyConnect-macosx-i386-<version>-k9.pkg

    Linux 操作系统 - AnyConnect-linux-<version>-k9.pkg

 

ftp服务器的ip地址为10.12.11.102

ASA配置连接ftp服务器:

mount a type ftp

   server 10.12.11.102

   username admin

   password 123456

   mode passive

   status enable

 

ciscoasa# copy ftp disk0:

Address or name of remote host [10.12.11.102]? 10.12.11.102

Source filename [anyconnect-win-3.1.03103-k9.pkg]?

Destination filename [anyconnect-win-3.1.03103-k9.pkg]?

Accessing ftp://10.12.11.102/anyconnect-win-3.1.03103-k9.pkg...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

1.png

(6)安装imgge

ciscoasa(config)# webvpn

ciscoasa(config-webvpn)# anyconnect image flash:/anyconnect-win-3.1.03103-k9.pkg

ciscoasa(config-webvpn)# anyconnect enable

1.png

(7)配置vpn使用的pool

ciscoasa(config)# ip local pool pool1 10.10.10.100-10.10.10.199

!ip local pool pool1 10.10.10.100-10.10.10.199 mask 255.255.255.0  建议把mask加上,要不10开关的默认掩为255.0.0.0

1.png

(8.1)创建本地组策略名字g1

ciscoasa(config)# group-policy g1 internal

(8.2)配置本地组策略属性

ciscoasa(config)# group-policy g1 attributes

ciscoasa(config-group-policy)# vpn-tunnel-protocol ssl-client ssl-clientless

ciscoasa(config-group-policy)# address-pools value pool1
(8.3)配置user1的相关属性

ciscoasa(config)# username user1 attributes

ciscoasa(config-username)# vpn-group-policy g1

 

 

配置隧道组

(9.1)创建隧道组名字为g1,VPN类型为webvpn

asa1(config)# tunnel-group t1 webvpn-attributes

(9.2)配置隧道组属性

ciscoasa(config-tunnel-webvpn)# tunnel-group t1 general-attributes

(9.3)隧道组调用本地组测率

ciscoasa(config-tunnel-general)# default-group-policy g1

(9.4)配置验证使用本地验证

asa1(config-tunnel-general)# authentication-server-group LOCAL

 

 

配置下拉列表

(10.1)隧道组指定下拉列表名字为benet.com

asa1(config)# tunnel-group t1 webvpn-attributes

asa1(config-tunnel-webvpn)# group-alias zh-cjh.com enable

(10.2)开启下俩列表

asa1(config)# webvpn

asa1(config-webvpn)# tunnel-group-list enable

 

 

(11)启用基于SSL协议的VPN连接

asa1(config)# webvpn

asa1(config-webvpn)# enable outside

INFO: WebVPN and DTLS are enabled on 'outside'.

asa1(config-webvpn)# exit

 

12)使用浏览器给访问SSL VPN

使用浏览器访问SSL VPN服务器

1.png

登录失败:

clientless(browser) ssl vpn access is not allowed

1.png

尝试登录失败后,浏览器中显示“Clientless (browser) SSL VPN access is not allowed.” (不允许无客户端(浏览器)SSL VPN 访问。)消息。如果显示“Premium AnyConnect license is not enabled on the ASA.”(ASA 上未启用高级 AnyConnect 许可证)消息,则表明 AnyConnect 高级版许可证未安装在 ASA 上或未使用。

解决方案

使用以下命令启用高级 AnyConnect 许可证:

asa1(config)# webvpn

asa1(config-webvpn)# no anyconnect-essentials

在PC2上测试:登录成功

1.png

2.png

3.png

4.png

安装或者下载到电脑上再进行安装:

1.png

2.png

3.png

4.png

5.png

6.png

(13)测试(vpn连接成功)

1.png

2.png

3.png

4.png

5.png

连接中

1.png

2.png

3.png

(14)查看

1.png

 

show vpn-sessiondb full anyconnect

1.png

show vpn-sessiondb full webvpn

1.png

1.png

ciscoasa# show vpn-sessiondb license-summary

1.png

2.png

3.png

(15)配置上dns

group-policy g1 attributes

 dns-server value 114.114.114.114 8.8.8.8

1.png

效果:

1.png

16)隧道分离split-tunnel:除了到vpn serverip的流量,其他的所有流量全部走向了vpn隧道:

1.png

2.png

从上图,电脑的路由表中可以看出,所有的流量默认从vpn走。

 

可以配置隧道分离,让部分流量走vpn, 其他流量默认走本地网络的出口。

1.png

2.png

默认是匹配所有流量:

1.png

2.png

3.png

access-list ACL_192.168.1.x standard permit 192.168.1.0 255.255.255.0

group-policy g1 attributes

 dns-server value 114.114.114.114 8.8.8.8

 vpn-tunnel-protocol ssl-client ssl-clientless

 split-tunnel-policy tunnelspecified     //配置Tunnel Network List Below

 split-tunnel-network-list value ACL_192.168.1.x

 default-domain none

 split-tunnel-all-dns disable

 address-pools value pool1

注意:隧道分离配置标准ACL, 测试时使用扩展ACL不生效。

1.png

2.png

3.png


思科Cisco ASA防火墙(列表、list、全)asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 12.2.3 思科ASA:思科ASA的SSLVPN配置(厚客户端AnyConnectVPN,网络层模型,会产生虚拟网卡)配置隧道分离split-tunnel

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!