Left, Right, Center Left, Center, Right Center, Left, Right

Академия

Мы -- официальная сетевая академия Cisco (ID: 20027250)

Хочешь сказать спасибо?

Нравится наш проект?

Хотите нас поддержать (сказать "спасибо")?

Можете воспользоваться для этого следующими кошельками webmoney

R432847347204

Z150172555537

Подписка на новости

Вопрос недели

В какое время Вам будет удобно заниматься?



 

Вход в систему







Забыли пароль?
Регистрация

Про виртуальные сети. Внедряем WebVPN (SSLVPN)

Статьи

 

Как говорилось ранее, что технология DMVPN не предусматривает удаленный доступ к сети дрейфующих пользователей, но это легко исправить взяв за основу WebVPN(SSL VPN) или IPSec VPN. Выбор на в этой статье упал на WebVPN (SSL VPN), поэтому сегодня в этой статье и будем рассматривать эту технологию.

Сама компания Cisco Systems позиционирует технологию WebVPN, как достойную замену IPSec VPN. Такую замену можно считать очень хорошей и целесообразной, учитывая проблемы, которые возникают при использовании IPSec VPN. Для организации безопасного соединения, WebVPN использует Secure Socket Layer Protocol и Transport Layer Security (SSL/TLS1). Для организации WebVPN можно использовать возможности Cisco IOS, Cisco VPN 3000 Concentrator или Cisco ASA 5500. На Cisco IOS очень много ограничений по использованию этой технологии, функционал очень сильно обрезан. Но тем не менее для начала рассмотрим работу технологии именно на Cisco IOS.

 

Логическая схема сети на основе WebVPN.

Процесс подключение к корпоративной сети через WebVPN нельзя сравнивать с процессом IPSec, так как в этом случае не происходит обмена ключами, а подключение ведется с использованием сертификата. Использование технологии предусматривает 3 вида доступа:

1) В клиентском режиме доступны функции:

Web используя HTTP и HTTPS

Доступ к файлам [CIFS]

Web-based e-mail

2) В туннельном режиме организуется виртуальный сетевой интерфейс, который используется для доступа в удаленную сеть.

3) В режиме тонкого клиента доступен только проброс портов.

 

Попробуем посмотреть, как выглядит процесс конфигурирования WebVPN:

Включаем https сервер:

!
hostname WEBVPN-GW
WEBVPN-GW(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 3 seconds)

Создаем RSA ключи:

WEBVPN-GW(config)#crypto key generate rsa label CISCOLAB-RSA modulus 2048
The name for the keys will be: ciscozine-rsa
% The key modulus size is 2048 bits
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 10 seconds)

Создаем локальный PKI:

crypto pki trustpoint Cisco-Lab-TrustPoint
 enrollment selfsigned
 subject-name CN=CiscoLAB
 revocation-check crl
 rsakeypair CISCOLAB-RSA

Получаем сертификат:

WEBVPN-GW(config)#crypto pki enroll Cisco-Lab-TrustPoint
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Generate Self Signed Router Certificate? [yes/no]: yes
Router Self Signed Certificate successfully created

Создаем туннельный интерфейс, присваиваем адрес, определяем интерфейс в зону inside, указываем то, что это соединение типа точка-точка для OSPF:

!
interface Loopback0
 description WEBVPN_LOOPBACK
 ip address 10.39.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip ospf network point-to-point
!

Не забываем про outside для NAT на WAN интерфейсе:

interface GigabitEthernet0/0
 description LINK_to_WAN$ETH-WAN$
 ip address 78.35.12.98 255.255.254.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto

Добавляем нашу созданную подсеть в процесс OSPF:

!
router ospf 1
 router-id 10.0.0.7
 network 5.5.15.0 0.0.0.255 area 0
 network 10.0.0.0 0.0.0.255 area 0
 network 10.39.0.0 0.0.0.255 area 0

Создаем локальный пул адресов для клиентов:

ip local pool WEBVPN_DHCP_POOL 10.39.0.2 10.39.0.254

Если посмотреть на официальную конфигурацию которую предлагает сама Cisco, то вы увидите, что IP-адрес там используется внешний, но на будущее предлагаю вам предусмотреть вариант подключения клиентов и через внутреннюю сеть, для этого мы и пробросим порты, которые использует WebVPN:

ip nat inside source static tcp 10.39.0.1 80 78.35.12.98  80 extendable
ip nat inside source static tcp 10.39.0.1 443 78.35.12.98 443 extendable

Теперь настройка самого WebVPN. Создаем шлюз, указываем перенаправление клиентов, пришедших на 80 порт на порт 443, определяем тип шифрования, используемый SSL (желательно использовать rc4-md5, потому как не все браузеры корректно работают с aes-sha1 и 3des-sha1), указываем на использование локального сертификата, который мы создали выше:

webvpn gateway CISCO_LAB_WEBVPN
 ip address 10.39.0.1 port 443  
 http-redirect port 80
 ssl encryption rc4-md5
 ssl trustpoint Cisco-Lab-TrustPoint
 inservice // Команда вводится последней//

Копируем образы AnyConnect на flash-память роутера:

WEBVPN-GW #copy tftp: flash
Address or name of remote host []? 10.0.0.4
Source filename []? anyconnect-macosx-i386-3.0.08057-k9.pkg
Destination filename [anyconnect-macosx-i386-3.0.08057-k9.pkg]?
Accessing tftp://10.0.0.4/anyconnect-macosx-i386-3.0.08057-k9.pkg...
Loading anyconnect-macosx-i386-3.0.08057-k9.pkg from 10.0.0.4 (via GigabitEthernet0/1): !!!!!!!!!
[OK - 10700247 bytes]
10700247 bytes copied in 19.992 secs (535226 bytes/sec)

WEBVPN-GW #copy tftp: flash
Address or name of remote host [10.0.0.4]?
Source filename [anyconnect-macosx-i386-3.0.08057-k9.pkg]? anyconnect-win-3.0.08057-k9.pkg
Destination filename [anyconnect-win-3.0.08057-k9.pkg]?
Accessing tftp://10.0.0.4/anyconnect-win-3.0.08057-k9.pkg...
Loading anyconnect-win-3.0.08057-k9.pkg from 10.0.0.4 (via GigabitEthernet0/1): !!!!!!!!!!!!!!!!
[OK - 28771677 bytes]
28771677 bytes copied in 47.888 secs (600812 bytes/sec)
WEBVPN-GW#

Инсталлируем образы AnyConnect:

WEBVPN-GW#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
WEBVPN-GW(config)#webvpn install svc flash:/anyconnect-win-3.0.08057-k9.pkg sequence 1
SSLVPN Package SSL-VPN-Client (seq:1): installed successfully
WEBVPN-GW(config)#webvpn install svc flash:/anyconnect-macosx-i386-3.0.08057-k9.pkg sequence 2
SSLVPN Package SSL-VPN-Client (seq:2): installed successfully
WEBVPN-GW(config)#

Приступаем к созданию контекста:

1) Разрешения и размеры используемого контента указаны в IOS, все файлы должны лежать в корневом каталоге flash)

2) Создаем Url-list, помещая в него ссылки на нужные нам ресурсы в сети

3) Для использования Thin-Client используем поле port-forward

4) Групповая политика настраивается отдельно для каждого экземпляра WebVPN, содержит набор параметров, ассоциированных с контекстом. Здесь определяется, будет ли доступ к файлам по CIFS, задействован «безопасный рабочий стол», режим тонкого клиента и полно-туннельный режим - policy group.

 

5) На IOS присутствует только японский и английский файлы перевода страницы WebVPN, поэтому переводим сами кому как удобно.

Файл языка можно получить вот так:

WEBVPN-GW#webvpn create template language ?

  				 WORD  device:

 

webvpn context Cisco_Lab_WEBVPN
 title "CiscoLab_WEbVPN"
 login-photo file login_photo.gif
 logo file logo_web.gif
 color #d20019
 secondary-color white
 title-color #d20019
 text-color black
 ssl authenticate verify all
 !
 url-list "WEB"
   heading "LINKS"
   url-text "WEBMAIL" 
                                       url-value "mail.ciscolab.local"
 !
 login-message "Welcome to Cisco-Lab"
 !
 port-forward "CiscoLABGate"
   local-port 4000 remote-server "192.168.1.176" remote-port 3389 description "PlotnikAG"
 !
 policy group CiscoLAb_policy_1
   url-list "WEB"
   port-forward "CiscoLABGate"
   functions svc-enabled
   mask-urls
   svc address-pool "WEBVPN_DHCP_POOL" netmask 255.255.255.0 //На разных версиях IOS команда netmask может отсутствовать//
   svc keep-client-installed //Разрешаем оставить проинсталлированный дистрибутив на компьютере//
   svc split include 10.0.0.0 255.255.255.0
   svc split include 192.168.0.0 255.255.0.0
   svc split include 10.33.44.0 255.255.255.0
   svc dns-server primary 10.0.0.1
   svc dns-server secondary 10.33.44.247
 default-group-policy CiscoLAb_policy_1
 aaa authentication list VPN_CLIENT_RADIUS //Указываем на использование радиус сервера для AAA//
 gateway CISCO_LAB_WEBVPN
 max-users 25
 language customize Russian flash:Ru-ru.js 
 logging enable
 inservice // Команда вводится предпоследней//
!
end

После настройка попробуем зайти на портал:

И видим что все хорошо и все работает.

Если используем RADIUS для авторизации и аунтефикации, то не забываем про NTP и настройку. Для тех кто не помнит напоминаем:

!
aaa new-model
!
!
aaa group server radius CiscoLabAAA
 server 10.0.0.53
!
aaa authentication login VPN_CLIENT_RADIUS local group CiscoLabAAA
!
aaa session-id common
!
clock timezone UTC 3 0
!
ntp master 3
ntp server 173.244.211.10 source GigabitEthernet0/0
ntp server 208.87.104.40
ntp server 46.166.138.172
ntp server 178.63.99.230 prefer
ntp server 184.105.192.247 prefer
!
radius-server host 10.0.0.53 key nfenlLnf3445rnlv
!

С настройкой мы закончили, теперь посмотрим как можно проверить работоспособность сервера:

WEBVPN-GW#sh webvpn session context all
WebVPN context name: BelagroWEBVPN
Client_Login_Name  Client_IP_Address  No_of_Connections  Created  Last_Used
CISCOLAB\PupkinVA   46.138.60.93               1         02:46:32  00:00:00
CISCOLAB\LisenkoAA   88.87.87.244               1         08:42:13  00:00:26
WEBVPN-GW#

Подробная информация о пользователе:

WEBVPN-GW#sh webvpn session user CISCOLAB\PupkinVA context all
Session Type : Full Tunnel Client User-Agent : AnyConnect Windows 3.0.08057 Username : CISCOLAB\PupkinVA Num Connection : 1
Public IP : 46.138.60.93 VRF Name : None Context : Cisco_Lab_WEBVPN Policy Group : CiscoLAb_policy_1 Last-Used : 00:00:00 Created : 14:10:15.404 UTC Wed Jan 30 2013 Session Timeout : Disabled Idle Timeout : 2100 DNS primary serve : 10.0.0.1 DNS secondary ser : 10.33.44.247 DPD GW Timeout : 300 DPD CL Timeout : 300 Address Pool : WEBVPN_DHCP_POOL MTU Size : 1406 Rekey Time : 3600 Rekey Method : Lease Duration : 43200 Tunnel IP : 10.39.0.232 Netmask : 255.255.255.0 Rx IP Packets : 37929 Tx IP Packets : 27566 CSTP Started : 02:50:25 Last-Received : 00:00:00 CSTP DPD-Req sent : 0 Virtual Access : 2 Msie-ProxyServer : None Msie-PxyPolicy : Disabled Msie-Exception : Split Include : 10.41.0.0 255.255.255.0 10.0.0.0 255.255.255.0 192.168.0.0 255.255.0.0 10.45.0.0 255.255.255.0 10.46.0.0 255.255.255.0 10.35.0.0 255.255.255.0 10.33.44.0 255.255.255.0 Client Ports : 49325 DTLS Port : 52215 WEBVPN-GW#

 

Вывод: Связка WebVPN и DMVPN дает получить нам максимум возможностей от нашего оборудования, получив стационарный доступ и удаленный. Настройка WebVPN на CiscoASA , будет рассмотрена позже.

От автора: Кому интересно по поводу RADIUS на Windows и аунтефикации, маякните :-)

Пожалуйста, зарегистрируйтесь или войдите в систему для добавления комментариев к этой статье.
Share to Facebook Share to Twitter Share to Linkedin Share to Myspace Share to Google 
.