remotevpn.docx

remotevpn.docx

《remotevpn.docx》由会员分享，可在线阅读，更多相关《remotevpn.docx（10页珍藏版）》请在冰豆网上搜索。

remotevpn

图解CiscoASA防火墙上面配置RemoteVPN

随着现在互联网的飞速发展，企业规模也越来越大，一些分支企业、在外办公以及SOHO一族们，需要随时随地的接入到我们企业的网络中，来完成我们一些日常的工作，这时我们VPN在这里就成了一个比较重要的一个角色了。

RemoteVPN设备有很多。

如Cisco路由器、CiscoPIX防火墙、CiscoASA防火墙、CiscoVPN3002硬件客户端或软件客户端。

这极大地简化了远程端管理和配置。

说的简单点就是在Server端配置复杂的策略和密钥管理等命令，而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术，主要的目的当然就是简化远端设备的配置和管理。

前面我们也讲解过如何在路由器上面配置RemoteVPN，那么今天我又带家来一起看看这个在ASA防火墙上面如何配置我们的RemoteVPN呢。

如果ASA防火墙有多个vpn连接时，每个连接的NO-NATACL不能和感兴趣流的ACL名称一样

第一步：

建立一个地址池。

远程访问客户端需要在登录期间分配一个IP地址，所以我们还需要为这些客户端建立一个DHCP地址池，不过如果你有DHCP服务器，还可以使用DHCP服务器。

QUANMA-T（config）#iplocalpoolvpnpool192.168.10.100-192.168.10.199mask255.255.255.0

第二步：

建立IKE第一阶段。

QUANMA-T（config）#isakmppolicy13des加密与sha算法结合使用

QUANMA-T（config-isakmp-policy）#authenticationpre-share

QUANMA-T（config-isakmp-policy）#encryption3des

QUANMA-T（config-isakmp-policy）#hashsha

QUANMA-T（config-isakmp-policy）#group2

QUANMA-T（config-isakmp-policy）#lifetime43200

QUANMA-T（config-isakmp-policy）#exit

QUANMA-T（config）#isakmppolicy1des加密与MD5算法结合使用

QUANMA-T（config-isakmp-policy）#authenticationpre-share

QUANMA-T（config-isakmp-policy）#encryptiondes

QUANMA-T（config-isakmp-policy）#hashMD5

QUANMA-T（config-isakmp-policy）#group2

QUANMA-T（config-isakmp-policy）#lifetime43200

QUANMA-T（config-isakmp-policy）#exit

第三步：

将IKE第一阶段应用在outside接口上面。

QUANMA-T（config）#isakmpenableoutside

第四步：

定义转换集

QUANMA-T（config）#cryptoipsectransform-setvpnsetesp-3desesp-sha-hmac

cryptoipsecikev1transform-setcisco1esp-desesp-md5-hmac

这里设置的转换集名字为vpnset。

第五步：

动态加密映射配置

QUANMA-T（config）#cryptodynamic-mapoutside-dyn-map10settransform-setvpnsetcisco1

QUANMA-T（config）#cryptodynamic-mapoutside-dyn-map10setreverse-route

QUANMA-T（config）#cryptodynamic-mapoutside-dyn-map10setsecurity-associationlifetimeseconds288000

第六步：

在静态加密映射中调用动态加密映射并应用在接口上面

QUANMA-T（config）#cryptomapoutside-map10ipsec-isakmpdynamicoutside-dyn-map

QUANMA-T（config）#cryptomapoutside-mapinterfaceoutside

第七步：

NAT穿越

它的主要作用是将三层IPSEC的ESP流量转发为四层的UDP流量。

ESP是一个三层的包，只有协议号，没有端口号，当它想穿越一个PAT设备时，由于PAT设备是基于端口的转换，所以ESP包过不了，这时就要将它封装进UDP包才能正常传输（源目端口都是UDP4500）

QUANMA-T（config）#cryptoisakmpnat-traversal//缺省keepalives时间20秒

第八步：

配置访问列表旁路

通过使用sysoptconnect命令，我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表：

QUANMA-T（config）#sysoptconnectionpermit-ipsec

第九步：

创建与设置组策略

组策略用于指定应用于所连接客户端的参数。

在本文中，我们将创建一个称之为vpnclient的组策略。

QUANMA-T（config）#group-policyvpnclientinternal

QUANMA-T（config）#group-policyvpnclientattributes

QUANMA-T（config-group-policy）#dns-servervalue61.139.2.69

QUANMA-T（config-group-policy）#vpn-tunnel-protocolipsec

QUANMA-T（config-group-policy）#default-domainvalue

QUANMA-T（config-group-policy）#exit

第十步：

遂道组的建立以属性的设置

QUANMA-T（config）#tunnel-groupvpnclienttypeipsec-ra

QUANMA-T（config）#tunnel-groupvpnclientipsec-attributes

QUANMA-T（config-tunnel-ipsec）#pre-shared-keycisco123

QUANMA-T（config-tunnel-ipsec）#exit

QUANMA-T（config）#tunnel-groupvpnclientgeneral-attributes

QUANMA-T（config-tunnel-general）#authentication-server-groupLOCAL

QUANMA-T（config-tunnel-general）#default-group-policyvpnclient

QUANMA-T（config-tunnel-general）#address-poolvpnpool

QUANMA-T（config-tunnel-general）#exit

而在这里vpnclient就是我们在设置组用户的用户名，域共享密钥就是我们组用户的密码。

第十一步：

配置用户账户

现在我们已经为配置用户账户做好了准备。

在此，我们要创建一个用户并且将此用户指派给我们的远程访问VPN：

QUANMA-T（config）#usernameliutypasswordyjtfpddc

QUANMA-T（config）#usernameliutyattributes

QUANMA-T（config-username）#vpn-group-policyvpnclient

QUANMA-T（config-username）#exit

第十二步：

配置NAT免除

现在，我们需要告诉ASA不要对远程访问客户端和要访问的内部网络之间的通信进行网络地址转换（NAT）。

首先，我们要创建一个可定义通信的访问列表，然后，我们将此列表用于接口的NAT语句：

inside———remote-client

QUANMA-T（config）#access-listno-natextendedpermitip192.168.0.0255.255.255.0192.168.10.0255.255.255.0

QUANMA-T（config）#nat（inside）0access-listno-nat

第十三步：

遂道分离设置

QUANMA-T（config）#access-listvpnclient_splitTunnelAclstandardpermit192.168.0.0255.255.255.0

QUANMA-T（config）#group-policyvpnclientattributes

QUANMA-T（config-group-policy）#split-tunnel-policytunnelspecified

QUANMA-T（config-group-policy）#split-tunnel-network-listvaluevpnclient_splitTunnelAcl

QUANMA-T（config-group-policy）#end

第十四步：

保存

QUANMA-T#writememory

好了，上面设置就差不多了。

那么我们现在来用CiscovpnClient来拨号试试看。

打开我们“CiscoSystemsVPNClient”，界面如下：

点击“New”来新建一个连接。

ConnectionEntry：

输入一个名字。

这里可以随便输入。

Host：

输入我们VPN服务端的地址。

在“GropuAuthentication”的“Name”处输入我们组的用户名，“Password与ConfirmPassword”处输入我们设置组的密码。

设置好了以后点击“Save”保存。

当我们新建好了以后在这里就已经有一条我们刚才建立的条目了。

点击“Connect”来进行连接。

当我们连接成功以后，就需要我们输入该组下面的用户名与密码。

点击“OK”进行连接。

当我们用户认证成功以后，该窗口就会自动消息，在我们的通知区域会显示一个不上锁的图标。

这时候点击该小锁图标，我们可以查看当前所连VPN的状态。

在这里我们可以看见，Client所分配到的IP地址为192.168.10.101，而服务端的IP地址为222.212.76.195，以及加密算法与连接时间，还有一些其他的东西。

而在RouteDetails里面可以看见我们通过VPN能够访问到的网段。

在这里我们可以看见，我们能够访问服务端的192.168.0.0/24这个网段里面的资源。

我们现在打开命令提示符输入“ipconfig/all”我们可以查看当前分配到的IP地址。

我们现在来ping一下我们企业内部的一台文件服务器看看：

从上图我们可以看见，我们现在已经ping通了我们内部的文件服务器