De technologie van Thin-Client SSL VPN maakt veilige toegang mogelijk voor bepaalde toepassingen die statische poorten hebben, zoals telnet (23), SSH(22), POP3 (110), IMAP4 (143) en MTP(25). U kunt het Thin-Client SSL VPN gebruiken als een door de gebruiker gedreven toepassing, door beleid gedreven toepassing, of beide. U kunt toegang op gebruikersbasis configureren of groepsbeleid maken waarin u een of meer gebruikers toevoegt.
Clientless SSL VPN (WebVPN) - Biedt een externe client die een SSL-enabled Web browser vereist om toegang te krijgen tot HTTP of HTTPS Web servers op een lokaal netwerk (LAN). Daarnaast heeft clientloze SSL VPN toegang tot Windows-bestand dat doorbladert door het Protocol Common Internet File System (CIFS). Outlook Web Access (OWA) is een voorbeeld van HTTP-toegang.
Raadpleeg Clientless SSL VPN (WebVPN) in ASA Configuration Voorbeeld om meer te weten te komen over de Clientless SSL VPN.
Thin-Client SSL VPN (Port Forwarding) — Biedt een externe client die een kleine Java-gebaseerde applicatie downloads en maakt beveiligde toegang mogelijk voor TCP-toepassingen (Transmission Control Protocol) die statische poortnummers gebruiken. Post Office Protocol (POP3), Simple Mail Transfer Protocol (MTP), Internet Message Access Protocol (IMAP), Secure Shell (SSH) en Telnet zijn voorbeelden van beveiligde toegang. Omdat bestanden op de lokale machine-wijziging moeten worden gewijzigd, moeten gebruikers lokale beheerrechten hebben om deze methode te kunnen gebruiken. Deze methode van SSL VPN werkt niet met toepassingen die dynamische port opdrachten, zoals sommige FTP-toepassingen (File Transfer Protocol) gebruiken.
Opmerking: User Datagram Protocol (UDP) wordt niet ondersteund.
SSL VPN Client (Tunnel Mode) downloads een kleine client naar het externe werkstation en maakt volledige beveiligde toegang tot resources op een intern bedrijfsnetwerk mogelijk. U kunt de SSL VPN-client (SVC) permanent naar een extern werkstation downloaden of u kunt de client verwijderen als de beveiligde sessie is gesloten.
Raadpleeg SSL VPN Client (SVC) op ASA met ASDM Configuration Voorbeeld om meer te weten te komen over de SSL VPN-client.
Dit document demonstreert een eenvoudige configuratie voor Thin-Client SSL VPN op de adaptieve security applicatie (ASA). De configuratie stelt een gebruiker in staat om veilig te tellen naar een router die zich op de binnenkant van de ASA bevindt. De configuratie in dit document wordt ondersteund voor ASA versie 7.x en hoger.
Zorg er voordat u deze configuratie probeert voor dat u aan deze vereisten voor de externe clientstations voldoet:
SSL-enabled-webbrowser
SUN Java JRE versie 1.4 of hoger
Gereedschappen
Bevolkingsblokkers gehandicapt
Plaatselijke administratieve voorrechten (niet vereist maar sterk voorgesteld)
Opmerking: de nieuwste versie van SUN Java JRE is beschikbaar als een gratis download van de Java-website .
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco adaptieve security applicatie 5510 Series
Cisco adaptieve security apparaatbeheer (ASDM) 5.2(1)
Opmerking: Raadpleeg HTTPS-toegang voor ASDM om de ASA te kunnen configureren door de ASDM.
Software voor Cisco adaptieve security applicatie, versie 7.2(1)
Microsoft Windows XP Professional (SP2) externe client
De informatie in dit document is ontwikkeld in een labomgeving. Alle apparaten die in dit document werden gebruikt, werden opnieuw ingesteld op de standaardconfiguratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt. Alle IP-adressen die in deze configuratie gebruikt werden, zijn geselecteerd uit RFC 1918-adressen in een labomgeving; deze IP-adressen zijn niet routeerbaar op het internet en zijn alleen voor testdoeleinden.
Dit document gebruikt de netwerkconfiguratie die in dit hoofdstuk wordt beschreven.
Wanneer een externe client een sessie met de ASA start, downloads de client een kleine Java-applicatie naar het werkstation. De cliënt wordt voorgesteld met een lijst van vooraf gevormde middelen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Om een sessie te starten, opent de externe client een SSL-browser naar de externe interface van de ASA. Nadat de sessie is vastgesteld, kan de gebruiker de parameters gebruiken die op de ASA zijn geconfigureerd om een beroep te doen op telnet of toepassingstoegang. De ASA voorziet in een veilige verbinding en geeft de gebruiker toegang tot het apparaat.
OPMERKING: Ingebonden toegangslijsten zijn niet nodig voor deze verbindingen omdat de ASA al op de hoogte is van wat een rechtszitting is.
Voltooi de volgende stappen om Thin-Client SSL VPN op de ASA te configureren:
Maak een groepsbeleid en koppel het aan de poortdoorsturen lijst (gemaakt in stap 2)
Een tunnelgroep maken en deze aan het groepsbeleid koppelen (in stap 3 gemaakt)
Een gebruiker maken en die gebruiker aan het groepsbeleid toevoegen (dit wordt gemaakt in stap 3)
Voltooi de volgende stappen om WebVPN op ASA mogelijk te maken:
Klik in de ASDM-toepassing op Configuration en vervolgens op VPN.
Vul WebVPN uit en kies WebVPN Access.
Markeer de interface en klik op Inschakelen.
Klik op Toepassen, klik op Opslaan en klik vervolgens op Ja om de wijzigingen te aanvaarden.
Voltooi de volgende stappen om de eigenschappen van het poorttransport te configureren:
Vul WebVPN uit en kies Port Forwarding.
Klik op de knop Toevoegen.
Typ in het dialoogvenster Lijst voor doorsturen van poorten en klik op Toevoegen.
Het dialoogvenster Toegang voor poortdoorsturen verschijnt.
Geef in het dialoogvenster Ingang doorsturen de volgende opties op:
Typ in het veld Local TCP Port een poortnummer of accepteer de standaardwaarde.
De waarde die u invoert, kan een willekeurig nummer zijn van 1024 tot 65535.
Voer in het veld Remote Server een IP-adres in.
Dit voorbeeld gebruikt het adres van de router.
Voer in het veld Remote TCP-poort een poortnummer in.
Dit voorbeeld gebruikt haven 23.
Typ in het veld Description een omschrijving en klik op OK.
Klik op OK en vervolgens op Toepassen.
Klik op Opslaan en vervolgens op Ja om de wijzigingen te aanvaarden.
Voltooi de volgende stappen om een groepsbeleid te maken en het te koppelen aan de lijst van het verzenden van havens:
Vul het groepsbeleid uit en kies het groepsbeleid.
Klik op Toevoegen en kies intern groepsbeleid.
Het dialoogvenster Intern groepsbeleid toevoegen verschijnt.
Voer een naam in of accepteer de standaardnaam van het groepsbeleid.
Schakel het vakje voor inherkende protocollen uit en controleer het vakje WebeVPN aan.
Klik op het tabblad WebeVPN boven in het dialoogvenster en klik vervolgens op het tabblad Functies.
Schakel het aanvinkvakje Inherit uit en controleer de aankruisvakjes voor automatische applet inschakelen en Poorttransport inschakelen zoals in dit beeld wordt weergegeven:
Klik ook in het tabblad WebVPN op het tabblad Port Forwarding en Schakel het vakje Port Forwarding List Inherit uit.
Klik op de vervolgkeuzelijst Port Forwarding List en kies de lijst voor poortverzending die u in Stap 2 hebt gemaakt.
Schakel het aankruisvakje Naam toepassen uit en verander de naam in het tekstveld.
De client geeft de Applet Name weer bij een verbinding.
Klik op OK en vervolgens op Toepassen.
Klik op Opslaan en vervolgens op Ja om de wijzigingen te aanvaarden.
U kunt de standaardgroep DefaultWebVPN bewerken of een nieuwe tunnelgroep maken.
Voltooi de volgende stappen om een nieuwe tunnelgroep te maken:
Vul het menu Algemeen uit en kies Tunnelgroep.
Klik op Add en kies WebVPN Access.
Het dialoogvenster Tunnelgroep toevoegen verschijnt.
Voer een naam in het veld Naam in.
Klik op de vervolgkeuzelijst Groepsbeleid en kies het groepsbeleid dat u in Stap 3 hebt gemaakt.
Klik op OK en vervolgens op Toepassen.
Klik op Opslaan en vervolgens op Ja om de wijzigingen te aanvaarden.
De tunnelgroep, het groepsbeleid en de eigenschappen van de havenverzending zijn nu met elkaar verbonden.
Voltooi de volgende stappen om een gebruiker te maken en die gebruiker aan het groepsbeleid toe te voegen:
Algemeen uitvouwen en gebruikers kiezen.
Klik op de knop Toevoegen.
Het dialoogvenster Gebruikersaccount toevoegen verschijnt.
Voer waarden in voor de gebruikersnaam, het wachtwoord en de informatie over toegangsrechten en klik vervolgens op het tabblad VPN Policy.
Klik op de vervolgkeuzelijst Groepsbeleid en kies het groepsbeleid dat u in Stap 3 hebt gemaakt.
Deze gebruiker erft de eigenschappen en het beleid van WebVPN van het geselecteerde groepsbeleid.
Klik op OK en vervolgens op Toepassen.
Klik op Opslaan en vervolgens op Ja om de wijzigingen te aanvaarden.
ASA | |
---|---|
ASA Version 7.2(1) ! hostname ciscoasa domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 !--- Output truncated port-forward portforward 3044 10.2.2.2 telnet Telnet to R1 !--- Configure the set of applications that WebVPN users !--- can access over forwarded TCP ports group-policy NetAdmins internal !--- Create a new group policy for enabling WebVPN access group-policy NetAdmins attributes vpn-tunnel-protocol IPSec l2tp-ipsec webvpn !--- Configure group policy attributes webvpn functions port-forward auto-download !--- Configure group policies for WebVPN port-forward value portforward !--- Configure port-forward to enable WebVPN application access !--- for the new group policy port-forward-name value Secure Router Access !--- Configure the display name that identifies TCP port !--- forwarding to end users username user1 password tJsDL6po9m1UFs.h encrypted username user1 attributes vpn-group-policy NetAdmins !--- Create and add User(s) to the new group policy http server enable http 0.0.0.0 0.0.0.0 DMZ no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart tunnel-group NetGroup type webvpn tunnel-group NetGroup general-attributes default-group-policy NetAdmins !--- Create a new tunnel group and link it to the group policy telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global webvpn enable outside !--- Enable Web VPN on Outside interface port-forward portforward 3044 10.2.2.2 telnet Telnet to R1 prompt hostname context |
Gebruik dit gedeelte om te controleren of de configuratie goed werkt.
In deze procedure wordt beschreven hoe de geldigheid van de configuratie wordt bepaald en hoe de configuratie wordt getest.
Voer vanaf een clientwerkstation https:// externe_ASA_IP-adres in; waar buiten_ASA_IPAdjurk de SSL URL van de ASA is.
Zodra het digitale certificaat wordt geaccepteerd en de gebruiker is echt bevonden, verschijnt de webpagina voor WebVPN Service.
Het adres en de haveninformatie die nodig zijn om toegang tot de toepassing te krijgen verschijnt in de lokale kolom. De Bytes Out en Bytes In kolommen vertonen geen activiteit omdat de toepassing op dit moment niet is ingeroepen.
Gebruik de DOS-prompt of een andere Telnet-toepassing om een Telnet-sessie te starten.
Voer telnet 127.0.0.1 3044 in als opdracht.
Opmerking: deze opdracht geeft een voorbeeld van hoe u toegang kunt verkrijgen tot de lokale poort die in het WebVPN Service Web pagina-afbeelding in dit document is weergegeven. Deze opdracht bevat geen colon (:). Typ de opdracht zoals in dit document beschreven wordt.
ASA ontvangt de opdracht over de beveiligde sessie en omdat het een kaart van de informatie opslaat, weet de ASA direct om de beveiligde teletensessie naar het in kaart gebrachte apparaat te openen.
Zodra u uw gebruikersnaam en wachtwoord hebt ingevoerd, is de toegang tot het apparaat voltooid.
Om de toegang tot het apparaat te controleren, controleert u de Bytes Out en Bytes in kolommen zoals in deze afbeelding wordt getoond:
Verschillende tonen opdrachten worden geassocieerd met WebVPN. U kunt deze opdrachten uitvoeren op de opdrachtregel-interface (CLI) om statistieken en andere informatie weer te geven. Raadpleeg voor gedetailleerde informatie over opdrachten voor het weergeven van de configuratie van WebVPN.
Opmerking: Uitvoer Tolk (alleen geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
Gebruik dit gedeelte om de configuratie van het probleem op te lossen.
Zodra u verbinding met de ASA hebt gemaakt, controleer of het real-time logbestand de voltooiing van de SSL handdruk toont.
Voltooi de volgende stappen om te controleren of de SSL VPN-client functioneel is:
Klik op Monitoring en klik vervolgens op VPN.
VPN-statistieken uitvouwen en op sessies klikken.
Uw SSL VPN Thin-Client-sessie moet in de sessielijst worden weergegeven. Vergeet niet via WebVPN te filteren, zoals in deze afbeelding:
Meerdere debug opdrachten zijn gekoppeld aan WebVPN. Raadpleeg voor gedetailleerde informatie over deze opdrachten het gebruik van Debug Commands van WebVPN.
Opmerking: het gebruik van debug-opdrachten kan een negatieve invloed hebben op uw Cisco-apparaat. Voordat u debug-opdrachten gebruikt, raadpleegt u Belangrijke informatie over Debug Commands.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
07-Feb-2008 |
Eerste vrijgave |