ASA sslvpn配置
|
|
Firewall,Network,VPN

95 字
|
4 分钟
本文最后更新于 604 天前,其中的信息可能已经有所发展或是发生改变。

1. 本地用户配置

** 本地用户配置**

基本配置不在赘述,只讲VPN相关配置,(本地用户密码认证)
sslvpn用户DHCP
	ip local pool SslVpnUser 192.168.1.1-192.168.1.100 mask 255.255.255.0
nat免除
	nat (inside,outside) source static obj_network obj_network destination static sslsub sslsub
acl配置
	access-list sslacl extended permit tcp object sslsub object obj_30.2.2.0 \\源为vpn用户,目的为内网网段
  access-list sslacl2 standard permit host 172.17.1.254 \\标准acl,只写目的
  注意: 此处的两种类型ACL在下方根据场景选择性调用,可以调用同一个ACL
webvpn配置
	webvpn
  	port 10443 \\定义访问端口
 		enable outside \\在公网接口启用webvpn功能
 		anyconnect image disk0:/anyconnect-win-4.9.04053-webdeploy-k9.pkg \\客户端文件
 		anyconnect enable \\开启anyconnect访问
 		tunnel-group-list enable \\开启隧道组选择选项
组策略配置
	group-policy sslGp internal
	group-policy sslGp attributes
  	vpn-filter value sslacl \\调用acl配置
 		vpn-tunnel-protocol ssl-client  \\定义vpn隧道协议
 		split-tunnel-policy tunnelspecified *\\vpn走远端和网络走本地,此配置需要和split-tunnel-network-list配合使用
    split-tunnel-network-list sslacl2 *\\
    
    
 		split-tunnel-policy tunnelall *\\流量全部走远端
    
    此处加*的配置,是根据场景选配的,请注意,而且调用ACL不是同一个,acl分别为标准ACL和扩展ACL,
    为了使VPN用户访问内网资源时可以限制到端口级
    
隧道组配置
	tunnel-group sslTg type remote-access \\隧道组类型
	tunnel-group sslTg general-attributes
 		address-pool SslVpnUser \\调用DHCP配置
 		default-group-policy sslGp \\调用组策略配置
	tunnel-group sslTg webvpn-attributes
 		group-alias ssltest enable	\\隧道别名 --即客户端连接时显示的资源名称
用户配置
	username user1 password cisco123 privilege 0
  username user1 attributes
 		group-lock value sslTg \\匹配隧道组
 		service-type remote-access \\类型为远程接入

2. 结合AD域环境配置

** LDAP用户登录配置**
基本配置(可参考:本地用户密码认证)不在赘述,只讲VPN相关配置,,其余配置和以上相同保持不变
dc=域名,比如主域名:tt.com ,写成dc就是 dc=tt,dc=com
ou=组织单位
cn=用户名或者文件夹,administrator默认所在的目录就是文件夹即Users

LDAP服务器配置
	aaa-server localAD protocol ldap \\认证服务器使用的协议,localAD=服务器组的名称
  aaa-server localAD (inside) host 172.16.254.122 \\服务器在inside区域,地址为254.122
  	timeout 60 \\超时时间
    ldap-base-dn dc=tt,dc=com \\定义用户登录时,搜索用域名的目录
 		ldap-scope subtree
 		ldap-naming-attribute sAMAccountName \\此项必须要有
 		ldap-login-password cisco \\用于登录ad进行连接验证的密码
 		ldap-login-dn cn=administrator,cn=users,dc=tt,dc=com \\用户登录ad进行验证的用户名目录
    server-type microsoft \\服务器类型为微软AD,也可以配置成auto-detect,让ASA自动侦测
隧道组配置
	tunnel-group sslTg type remote-access \\隧道组类型
	tunnel-group sslTg general-attributes
 		address-pool SslVpnUser \\调用DHCP配置
 		default-group-policy sslGp \\调用组策略配置
    authentication-server-group localAD \\指定认证方式为ad服务器用户
	tunnel-group sslTg webvpn-attributes
 		group-alias ssltest enable	\\隧道别名 --即客户端连接时显示的资源名称

3. 备注

ASA添加lDAP信息,域控用户路径顺序,CN OU DC DC ,即先写小方向的再写大方向的
示例:域控域名为: aaa.idc.com
     cn=用户名 cn=文件夹 ou=子组织单位 ou=主组织单位 dc=子域名 dc=主域名 dc=域名后缀
     cn=user1,cn=itgroup,ou=bjidc,ou=idc,dc=aaa,dc=idc,dc=com
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇