ASA8.6-VPN配置手册
发布时间:2016-08-24 10:22:05
发布时间:2016-08-24 10:22:05
在准备进行配置SSLVPN之前,请务必确定防火墙到内网可达,即必须要有路由;外网已经就绪。
route inside 172.25.64.0 255.255.240.0 172.25.66.254 (内网路由)
route outside2 0.0.0.0 0.0.0.0 221.2.102.217 (外网路由)
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-2.5.2014-k9.pkg
--定义anyconnect的镜像位置(如果有MAC电脑需求,需要再增加MAC的镜像)
anyconnect enable
--启用anyconnect
group-policy Anyconnect-vpn internal
--配置group-policy为vpn的属性
group-policy Anyconnect-vpn attributes
wins-server none
vpn-tunnel-protocol ssl-client
--vpn隧道协议为ssl-client
ip local pool Anyconnect-vpn 172.16.0.0-172.16.0.254 mask 255.255.255.0
object network Anyconnect-GS
subnet 172.16.0.0 255.255.255.0
tunnel-group GS type remote-access
--定义名字为cisco的tunnel-group类型为remote-access
tunnel-group cisco general-attributes
--配置该tunnel-group的全局属性
address-pool Anyconnect-vpn
--引用之前定义好的地址池
default-group-policy Anyconnect-vpn
--该tunnel-group下引用group-policy
tunnel-group GS webvpn-attributes
--配置tunnel-group的webvpn属性,这样在进行anyconnect拨号时才能看到组
group-alias GS enable
username test password 0AKWGtPSEgAcPI9K encrypted
进入test用户的属性设置,设置使用该用户名同时通过anyconnect拨VPN的数量,该数量默认为3,也就是同时只有3个人可以通过同一个test账户来拨VPN,而第4个人是无法连接上VPN的。(这里设置为同时登录数为1000)
username test attributes
vpn-simultaneous-logins 1000
这样配置完以后,外网用户即可以通过防火墙的outside地址进行anyconnect连接了。但是连上后发现自身互联网会断开,且获取到的地址无法在内网访问任何资源。
用户在不影响本地访问互联网的情况下,也可以通过VPN访问内网资源,需要使用隧道分离技术,将需要被访问的感兴趣流量分离出来,提供给VPN用户。默认不做隧道分离时,VPN用户看到的路由是0.0.0.0
access-list Anyconnect-VPN standard permit 172.25.65.21 255.255.255.252
group-policy Anyconnect-vpn attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Anyconnect-VPN(Anyconnect-VPN为上面定义好的acl名字)
nat (inside,outside) source static any any destination static Anyconnect-GS Anyconnect-GS no-proxy-arp route-lookup
access-list 101 extended permit ip any 172.16.0.0 255.255.255.0
access-list 101 extended permit ip 172.16.0.0 255.255.255.0 any
access-group 101 in interface inside
注:这里一定要小心,因为将acl应用到inside接口,将直接导致内网访问外网的NAT数据流可能会被阻断。可将需要进行NAT转换的内网网段,放入acl 101,允许通过。
route inside 172.16.0.0 255.255.255.0 172.25.66.254
至此,ASA上的SSLVPN(anyconnect VPN)配置完毕。
默认ASA没有Anyconnect Mobility的license,因此用移动端是无法连接SSLVPN的。
interface GigabitEthernet0/0
ip address 10.10.4.200 255.255.255.0
nameif outside
no shutdown
interface GigabitEthernet0/1
ip address 192.168.0.20 255.255.255.0
nameif inside
no shutdown
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
crypto ipsec transform-set myset esp-aes esp-sha-hmac
ccess-list L2LAccessList extended permit ip 192.168.0.0 255.255.255.0 192.168.50.0 255.255.255.0
tunnel-group 10.20.20.1 type ipsec-l2l
tunnel-group 10.20.20.1 ipsec-attributes
pre-shared-key P@rtn3rNetw0rk
crypto map mymap 10 match address L2LAccessList
crypto map mymap 10 set peer 10.10.4.108
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set reverse-route
crypto map mymap interface outside
crypto isakmp enable outside
至此,Lan到Lan的VPN配置完毕