这肯定不是第一篇撰写有关“用Cisco设备快速搭建VPN简明指南”的文章,但我们还是希望这篇指南能够成为广大使用ASA 5505设备的用户在设置VPN和连接互联网方面的一站式指南。
ASA本身带有设置向导,但是这个向导并没有覆盖用户所需的各方面工作内容,并且有些步骤讲解的也很模糊,会让用户难以适从。实际上我们的工作可以分为四个步骤:设置SSL验证,配置VPN,然后设置正确的NAT规则,最后如果需要可以开启split-tunneling 。SSL验证可以让用户通过加密隧道从互联网访问企业内网的资源。在下面的讲解中,使用的是自签名的验证方式用于测试,如果是实际应用,则应该通过第三方认证机构获取SSL认证证书。VPN的设置相对简单。然后我们还会详细介绍一下向导所讲的内容和配置步骤。最后一步的设置可以让用户同时访问内网和外网信息。下面是针对实验环境所作的配置步骤,测试的实验环境可以连接内网和外网,设置有DMZ,并安装了思科ASDM和CLI。
设置 SSL证书
点击顶部的Configuration按钮并选择Remote Access VPN
点击 Certificate Management 然后点击 Identity Certificates
点击Add 然后选择 Add a new identity certificate.
点击 New 然后输入新的VPN名字(比如VPN)
点击 Generate Now.
你需要输入FQDN(全称域名),比如CN=vpn.domain.com 然后点击 OK.
勾选Generate Self Signed Certificate然后点击 Add Certificate.
点击 OK.
设置AnyConnect Remote Access VPN:
点击Wizards 然后进入VPN 向导界面
勾选AnyConnect SSL VPN Client (AnyConnect VPN Client)
选择一个连接名称(如VPN)
确保选择的是 Outside接口
在证书下拉菜单中选择我们刚建立的那个证书。
注意一下从客户端访问VPN的地址(比如ip.add.re.ss:444)
点击 Next
可以使用本地数据库用户(自己建立几个用户)或者使用LDAP里的信息(比如你的活动目录用户)
点击 Next
建立一个新的策略并为其命名(比如AnyConnect),然后点击Next
点击New 为用户建立一个地址池。注意不要使用与内网相同的子网。比如内网使用的是192.168.100.0/24 ,那么VPN地址池可以使用 192.168.104.0/24 。如果你只希望地址池里有20个 IP地址,可以设置起始IP地址为192.168.104.20,结束IP地址为192.168.104.40.
从下拉菜单中选择刚才建立的地址池。如果内网没有使用Ipv6,就不用考虑Ipv6地址池的问题。
至于AnyConnect的图像,你可以浏览一下本地或者用SMARTnet账户登录Cisco网站下载然后上传到此处。
点击 Finish。也可以先点击 Apply保存设置。
建立 NAT 豁免规则(为了快捷使用CLI)
连接到防火墙的 CLI
在配置模式下输入以下命令:
access-list NAT-EXEMPT extended permit ip 192.168.100.0 255.255.255.0 192.168.104.0 255.255.255.0
tunnel-group VPN general-attributes
address-pool AnyConnect (这是我们之前建立的地址池名称)
现在你就可以通过VPN连接到内网环境了。但是用户可能在连接互联网时遇到限制。所以接下来我们要配置split-tunneling让这些VPN 用户能够访问到互联网。如果需要极度安全,那么就不要配置split-tunnel。这是一个实用性与安全性取舍的问题,大家可以权衡一下再做决定。因为 VPN用户肯定不希望仅仅为了在google上查下资源或者看看自己的私人邮箱就必须得退出VPN。
配置 split-tunnel:
回到 ASDM 界面点击Configure,然后是Remote Access VPN,然后选Network Access. 选择Group Policies.
点击我们在向导中建立的组策略,然后选择Edit.
扩展 Advanced 然后点击Split Tunneling
取消 Inherit Policy 并从下拉菜单中选择 Tunnel Network List Below
取消 Network List然后点击 Manage
点击Add 然后Add ACL
为 ACL起个名字,然后再次点击Add并选Add ACE
在 Add ACE 窗口里点击Permit 然后选择内网地址(192.168.100.0)
点击 OK然后确保新的ACL存在于 Network List中。
再次点击 OK。
点击 Apply然后点击Save.
这样你的VPN就可以正常运转,并且VPN客户可以直接在VPN连接中访问互联网了。
【编辑推荐】