Lab SSL VPN

I.Sơ đồ mạng

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/1.jpg

II.Yêu cầu:

- Cấu hình các router 1 và router 2 thành Web VPN server.
- Cấu hình trang portal sao cho khi người dùng kết nối thành công, anh ta có thể truy cập mail thông qua SSL VPN.
- Cài đặt Java vào các máy trạm để có thể kết nối Web VPN.
- OSPF được dùng giữa các router.

III. Cấu hình và các bước thực hiện


Cấu hình router:

Router làm Web VPN

LINH#sh run
!
version 12.4
!
hostname LINH
!
aaa new-model
!
aaa authentication login default local
!
ip cef
!
ip domain name linhcompany.com
ip host mail.linhcompany.com 10.0.2.12
ip host home.linhcompany.com 10.0.2.12
ip host www.linhcompany.com (http://www.linhcompany.com) 10.0.2.12
!
crypto pki trustpoint TP-self-signed-427038573
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-427038573
revocation-check none
rsakeypair TP-self-signed-427038573
!
crypto pki certificate chain TP-self-signed-427038573
certificate self-signed 01
3082024A 308201B3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 34323730 33383537 33301E17 0D303830 33313630 38343935
355A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3432 37303338
35373330 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
quit
!
username linh password 0 cisco
!
interface FastEthernet0/0
ip address 172.30.2.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.2.1 255.255.255.0
duplex auto
speed auto
!
router ospf 30
log-adjacency-changes
network 172.30.2.0 0.0.0.255 area 1
!
ip http server
ip http secure-server
!
webvpn gateway SNRS-GW
hostname GW-1
ip address 172.30.2.2 port 443
ssl trustpoint TP-self-signed-427038573
inservice
!
webvpn context SSLVPN
title "VNPRO SNRS WebVPN Page"
ssl authenticate verify all
!
url-list "MYLINKS"

heading "Quicklinks"
url-text "Pod Homepage" url-value "home.linhcompany.com"
!
login-message "Nhap ID va Password"
!
port-forward "Portlist"
local-port 30020 remote-server "mail.linhcompany.com" remote-port 25 description "SMTP"
local-port 30021 remote-server "mail.linhcompany.com" remote-port 110 description "POP3"
local-port 30022 remote-server "mail.linhcompany.com" remote-port 143 description "IMAP"
!
policy group SSL-policy
url-list "MYLINKS"
port-forward "Portlist"
banner "Login thanh cong roi do nghen"
timeout idle 1800
timeout session 36000
default-group-policy SSL-policy
gateway SNRS-GW
inservice
!
!
end

LINH#

Connect vào bằng giao diện web:
Mở giao diện web gõ địa chỉ https://172.30.2.2 (https://172.30.2.2/) => Enter


http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/2.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/3.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/4.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/5.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/6.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/7.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/8.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/9.jpg

Cấu hình mail client:

Tool => account => Add => Mail…

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/10.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/11.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/12.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/13.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/14.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/15.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/16.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/17.jpg

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/18.jpg

Vào Start\programs\Mail Enables\MailEnables administrator

http://i259.photobucket.com/albums/hh283/wifipro/vnpro/SSLVPN/20.jpg

Mọi thắc mắc vui lòng liên hệ mail tranmyphuc@wimaxpro.org hoặc post trực tiếp vào Topic này . Chúng tôi sẽ cố gắng giải đáp nhanh chóng những vướng mắc của các bạn !!!
Thay mặt tác giả cảm ơn các bạn đã quan tâm đến bài viết này!!!
Chúc các bạn vui 1!!

cho mình hỏi:
port-forward "Portlist"
local-port 30020 remote-server "mail.linhcompany.com" remote-port 25 description "SMTP"
local-port 30021 remote-server "mail.linhcompany.com" remote-port 110 description "POP3"
local-port 30022 remote-server "mail.linhcompany.com" remote-port 143 description "IMAP"
phần port-forword là để chuyển đổi các port default sang các port khác, vậy tại sao ở trong cửa sở "Application access" lại vẫn giữ nguyên số port vậy?
Vậy ý nghĩ thật sự của phần port-forward là gì vậy?

có ai cấu hình tunnel mode trong ssl vpn chưa? chỉ cho mình với!
Cấu hình của mình như sau mọi ng check lại hộ coi có thiếu cái gì không?

webvpn gateway SNRS-GW
hostname GW-1
ip address 172.30.1.2 port 443
http-redirect port 80
ssl trustpoint TP-self-signed-4294967295
inservice
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
!
webvpn context SSLVPN
title "Minh SSLVPN Page"
ssl authenticate verify all
!
url-list "MYLINKS"
heading "Quicklinks"
url-text "Pod Homepage" url-value "mail.minhnv.com"
!
nbns-list SHARE
nbns-server 192.168.1.2 master timeout 10 retries 5
login-message "Vui long nhap mat khau"
!
port-forward "Portlist"
local-port 30020 remote-server "mail.minhnv.com" remote-port 25 description "SMTP"
local-port 30021 remote-server "mail.minhnv.com" remote-port 110 description "POP3"
local-port 30022 remote-server "mail.minhnv.com" remote-port 143 description "IMAP"
!
policy group SSL-Policy
url-list "MYLINKS"
port-forward "Portlist"
nbns-list "SHARE"
functions file-access
functions file-browse
functions file-entry
functions svc-required
banner "Login Susseccful"
timeout idle 1800
timeout session 36000
svc address-pool "MYPOOL"
svc default-domain "minhnv.com"
svc dpd-interval client 20
svc dpd-interval gateway 10
svc homepage "Homepage"
default-group-policy SSL-Policy
gateway SNRS-GW
inservice
!
!
end

Lab SSL VPN

II.Yêu cầu:

- Cấu hình các router 1 và router 2 thành Web VPN server.
- Cấu hình trang portal sao cho khi người dùng kết nối thành công, anh ta có thể truy cập mail thông qua SSL VPN.
- Cài đặt Java vào các máy trạm để có thể kết nối Web VPN.
- OSPF được dùng giữa các router.




Hi,
Xin hoi? cai router 1 va` router 2 la` cisco router model loai na`o thi lam duoc web VPN server ?

Thanks

Bất cứ thiết bị Cisco nào có khả năng chạy các IOS như:

ADVANCED ENTERPRISE SERVICES c2801-adventerprisek9-mz.124-19.bin
ADVANCED IP SERVICES c2801-advipservicesk9-mz.124-19.bin
ADVANCED SECURITY c2801-advsecurityk9-mz.124-19.bin
AISK9-AESK9 FEAT SET FACTORY UPG FOR BUNDLES

Bạn có thể lựa các IOS mà trong file name của nó có "k9".

Hi My Phuc !

Vay thi cau hinh ssl vpn tren ASA de su dung mail co khac biet gi nhieu ko vay ?

Hihihi Các Bro,
Giờ mình muốn User ở ngoài truy cập VPN vào công ty và User đó chỉ có thể nhận và gửi mail mà thôi hoặc chỉ thấy 1 server nào đó trong mạng hoặc ko thấy được route của những cái khác thì làm sao , Có ai biết hướng dẫn cụ thề với Thanks !!

Chào bạn,

Để client quay VPN vào chỉ thấy một nhóm đối tượng nào đó (lớp mạng A, máy server B, hoặc chỉ gửi mail) thì bạn cần bật chức năng split tunneling lên.
+ Nếu bạn cấu hình bằng SDM thì mặc định nó chưa bật, bạn có thể vào
Easy VPN server/ Edit group policy/ split tunneling/ enable split tunneling/ rồi add lớp mạng Lan(vd 192.168.1.0) mà bạn muốn client VPN truy cập vào.
+ Nếu cấu hình bằng lệnh thì vào
crypto isakmp client configuration group xxx
acl 101

Với ACL 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 any

Nếu bạn cần port cụ thể thì có thể thêm vào thông qua ACL 101 (trường hợp chỉ cho truy cập server mail chẳng hạn)

A tranmyphuc có thể hướng dẫn cụ thể hơn được không?E chưa hiểu lắm,về các bước tiến hành,và vào đâu để cài đăt mail cho Client.Em xin cảm ơn.Nếu có thể a có bài hướng dẫn chi tiết a gửi vào mail trangiap84@gmail.com cho e nhé!