ASA搭建SSLVPN(AnyConnect)

最新推荐文章于 2024-04-13 06:43:46 发布
最新推荐文章于 2024-04-13 06:43:46 发布
阅读量2k 收藏 5
点赞数 1
文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wulala112233/article/details/130620768
版权

 ASA支持三种SSL(安全套接层)VPN类型

  • 无客户端:远程客户通过启用SSL的浏览器访问
  • 瘦客户端:远程客户需要安装一个基于JAVA的小程序,可以访问基于TCP的内部资源
  • 完全隧道:远程客户需要安装Cisco AnyConnect Secure Mobility,使用完全隧道客户端模式时,远程主机会发送全部IP单播流量

其次,ASA设备提供了2个用户的免费授权

如果搭建完全隧道,需要保证以下三点:

  • ASA部署:放行SSLVPN端口,尽量靠近Internet出口
  • 用户账户:需要向本地数据库或者外部认证服务器认证
  • 客户管理员权限:anyconnect客户端需要本地工作站的管理员权限

拓扑环境:

PNET

ASA:asav-992-100

client:桥接网卡,IP10.10.0.2

 

操作步骤:

 

 ASA

1.注册数字证书

略,之后会单开博客写注册证书。

2.建立隧道和组策略

2.1配置组策略

ciscoasa(config)# ip local pool SSLPOOL 172.16.100.1-172.16.100.10 mask 255.255.255.0

创建客户端地址池

ciscoasa(config)# group-policy SSLVPN internal         #创建组策略

ciscoasa(config)# group-policy SSLVPN attributes

ciscoasa(config-group-policy)# vpn-tunnel-protocol ssl-client        #隧道用于SSL

ciscoasa(config-group-policy)# address-pools value SSLPOOL        #调用地址池

2.2配置隧道组

ciscoasa(config)# tunnel-group SSLVPNTP type remote-access  

ciscoasa(config)# tunnel-group SSLVPNTP general-attributes 

ciscoasa(config-tunnel-general)# default-group-policy SSLVPN        #将组策略添加到隧道组

 

3.设置用户认证 

ciscoasa(config)# username test1 password 123.com 

使用本地认证,RADIUS认证则另起博客讲解 

 

4.配置Cisco AnyConnect Secure Mobility客户端 

有两种方式在用户计算机上安装客户端

  • web-enabled mode(web模式):打开浏览器下载客户端
  • standalone mode(独立模式):从文件服务器或Cisco.com

ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# enable outside        #在外部接口启用SSL

ciscoasa(config-webvpn)# anyconnect image flash:/anyconnect.pkg
ciscoasa(config-webvpn)# anyconnect enable 

ciscoasa(config-webvpn)# tunnel-group-list enable

ciscoasa(config)# tunnel-group SSLVPNTP webvpn-attributes

ciscoasa(config-tunnel-webvpn)# group-alias SSLVPNTP enable

 

 客户端首先测试是否能连通ASA外部接口地址

 输入ASA外部接口地址,因为没有配置SSL证书所以会警告

 输入之前准备好的账户名和密码

 点击Download for Windows,下载客户端

下载运行安装程序

安装完毕 

 

 

 点击齿轮图标,Preferences取消勾选最后一条,因为没配置SSL证书所以不信任

 输入FW外部接口地址,Connect

 选择Connect Anyway,然后输入账户名和密码

连接成功

客户端获得新地址 

 

 

 

Mr.咕咕
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
现用图解CiscoASA防火墙SSLVPN地配置.doc
11-28
现用图解CiscoASA防火墙SSLVPN地配置.doc
ASA 9.1配置
11-16
ASA防火墙最新9.1配置文档,可以快速的理解ASA
用户远程访问公司内网---防火墙配置SSL VPN,操作及原理讲解
最新发布
h1008685的博客
04-13 1874
用户远程访问公司内网---防火墙配置SSL VPN,技术详解及实例,防火墙配置步骤及原理讲解。
安装配置 AnyConnect 证书登录
swichent的博客
06-07 1263
把 pki/client/soli/soli-cert.p12 (其中的两个 soli 换成你自己的名字)通过邮件或其他方式发送到手机,并安装。同样的,把 solicomo.com 替换成你自己的服务器域名或 IP。还有个问题就是,如果这台服务器上的 ocserv 有很多人共用,并且某天想把其中的一个人剔除出去,该怎么办呢?这一步『参考文章』里也有说明,网上也很容易搜到如何把服务证书设置为『信任』。和证书相关的就这四项,其他配置项及防火墙配置请参见上面的『参考文章』。ocserv 的 man 手册。
Cisco AnyConnect Secure Mobility Client 4.10.04065 (macOS, Linux, Windows) 下载
热门推荐
sysin | SYStem INside
12-13 1万+
Cisco AnyConnect Secure Mobility Client 使远程工作人员能够从任何设备、任何时间、任何地点无缝地、高度安全地访问企业网络,同时保护组织。对于需要大规模保护敏感数据的各种规模的组织,同样是适用于所有用户,所有设备和所有应用程序的用户友好的零信任安全平台。
Cisco AnyConnect Secure Mobility Client 4.10.07062 (macOS, Linux, Windows)
sysin | SYStem INside
07-03 1587
Cisco AnyConnect Secure Mobility Client 4.10.07062 (macOS, Linux, Windows)
(ASA) Cisco SSL 虚拟专用网配置详解
运维密码
06-01 1616
环境 ASA5550防火墙一台 交换机两台 SDWAN设备一台 网段划分 公网 10.10.10.180 掩码24 网关10.10.10.1 内网 192.168.101.0/29 管理 10.201.100.1 掩码 24 SDWAN互联地址192.168.101.0/29 拓扑图 1、ASA基本配置。 conf t hostname FW-5550 clock t...
Anyconnect Server 搭建
米渔的博客
02-16 1615
添加、修改账号 ocpasswd -c /etc/ocserv/ocpasswd test
Cisco AnyConnect Secure Mobility Client 4.10.07073 (macOS, Linux, Windows) - 思科远程访问客户端
sysin | SYStem INside
08-29 952
Cisco AnyConnect Secure Mobility Client 4.10.07073 (macOS, Linux, Windows) - 思科远程访问客户端
docker-easyconnect:使深信服(Sangfor)开发的非自由的代理软件EasyConnect运行在docker中,并提供socks5服务
03-31
码头工人-easyconnect让深信服开发的非自由的EasyConnect代理软件在docker中运行,并打开Socks5供托管机连接以使用代理。这个图像基于EasyConnect官方“ Linux”版的deb包以及提供的。是这次折腾的总结。另有的(另...
EasyConnect(windows版)
05-29
EasyConnect能够帮助您在办公室之外使用公司内网的所有系统及应用。在您的公司部署深信服远程应用发布解决方案后,您的公司所有业务系统及应用都可以轻松迁移至移动互联网上。您可以通过手机、PAD等智能移动终端...
SSLVPN的技术原理与应用.docx
07-09
SSLVPN的技术原理与应用.docx
深信服SSLVPN方案模板样本.docx
11-24
深信服SSLVPN方案模板样本.docx
Cisco anyconnect secure mobility client
u012378999的博客
08-01 939
Cisco anyconnect secure mobility client 客户端。
在CentOS7下一键搭建Ocserv、CiscoAnyconnect服务器
前端劝退师的博客
11-18 7822
ocserv一键安装
Linux搭建SSLVpn
JJH2724719395的博客
08-24 1670
新添ssl配置信息,将端口修改为443(截图错了server.key应该放在/etc/pki/tls/private/下)2、276行和990行修改为自己的域名和要访问的端口。1、136行将监听端口注释。
【Pfsense 2.6】SSLVPNSSL&TLS+UserAuth)搭建
taylorgogo
05-19 1285
System>>>Package Management>>>Available Packages>>>搜索openvpn,OpenVPN服务器证书和客户端证书需要用同一个CA证书授权,这里用的是上面新建的CA证书OpenVPN_CA1。强制把客户端的所有流量丢给SSLVPN服务器做转发,默认不开启,这里我们只是服务私网IP,不开;【Dynamic IP / 给客户端动态分配IP池里的IP】VPN>>>OpenVPN>>>Wizard 【设置向导】>>>Next 填写OpenVPN隧道的设置参数。
Cisco AnyConnect Secure Mobility Client 4.10.08029 (macOS, Linux, Windows) - 远程访问客户端下载
sysin | SYStem INside
03-22 1478
Cisco AnyConnect Secure Mobility Client 4.10.08029 (macOS, Linux, Windows) - 远程访问客户端下载
Vyos OpenVPN (SSL TLS+User Auth) 本地PAM认证 SSLVPN服务器搭建
taylorgogo
06-01 1253
Vyos 基于OpenVPN的 多客户端拨入 PAM本地用户认证 SSLVPN
Asa配置anyconnect
05-14
以下是一份基本的 ASA AnyConnect 配置示例: ``` ! 配置 AnyConnect VPN 服务 webvpn enable outside anyconnect image disk0:/anyconnect-win-4.9.00086-k9.pkg 1 anyconnect enable tunnel-group-list enable ! 配置 AnyConnect 隧道组 tunnel-group DefaultWEBVPNGroup general-attributes address-pool VPN_POOL default-group-policy GroupPolicy_ANYCONNECT ! 配置 AnyConnect 策略 group-policy GroupPolicy_ANYCONNECT internal group-policy GroupPolicy_ANYCONNECT attributes dns-server value 8.8.8.8 vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value VPN_ACL webvpn anyconnect keep-installer installed anyconnect ask none default anyconnect anyconnect ssl keepalive 15 anyconnect profiles value ANYCONNECT_PROFILE ! 配置 AnyConnect 认证 aaa authentication login-authentication-list LOCAL aaa authentication login-authentication-list SSLVPN_AUTHEN_METHODS aaa authentication match sslvpn OUTSIDE interface outside aaa authorization exec-authentication-list LOCAL aaa authorization network-authentication-list LOCAL ! 配置 AnyConnect 访问列表 access-list VPN_ACL extended permit ip 192.168.1.0 255.255.255.0 any ! 配置 AnyConnect 本地用户 username vpn_user password 1234567890 privilege 0 ! 配置 AnyConnect 访问地址池 ip local pool VPN_POOL 192.168.100.1-192.168.100.10 mask 255.255.255.0 ``` 以上是一个基本的 ASA AnyConnect 配置示例,其中包含了 AnyConnect VPN 服务、隧道组、策略、认证、访问列表、本地用户和访问地址池等配置内容。需要根据实际需求进行相应的修改和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值