მოგესალმებით,

ამ პოსტში დავაკონფიგურიროთ WEB VPNი ისე რომ ANY Connect Clientის მუშაობდეს და მისაწვდომის იყოს web გვერდიდანაც

Web Base VPN-ის აქვს სამი Remote Accessის რეჟიმი

Clientless: – ეს არის ვებ გვერდზე ბაზირებული, აქედან შესაძლებელია მოხდეს წვდომა ვეგ-გვერდზე ბაზირებული აპლიკლაციზებზე, File-Sharing-ზე და OUTLOOK WEB ACCESS (OWA).

Thinclient:  - ამ რეჟიმის საშუალებით შესალებელია მოხდეს TCP Port-Forwarding-ი ისეთ აპლიკაციკებზე როგორიც არის Telnet ,SSH, SMTP POP3, Remote Destop Connection (RDP). იყენებს ჯავა აპლეტს. მხოლოდ TCP Base Application-ზე შეიძლება ამის გამოყენება.

Tunnel Mode: დაახლოებით იგივე რაც არის Easy VPN Clientი. აუცილებლად ჭირდება ადმინისტრატორის უფლებელი

და ნებისმიერი IP Based აპლიკაციის გამოყენება შეიძლება ამ რეჟიმის საშუალებით.

როგორც ASA-ზე ასევე Cisco IOS-ზე შეიძლება web vpn-ი კონფიგურირდება

asa-ზე აუცილებლად საჭიროა ლიცენზია. 2 მომსარებელის შეიძლება ლიცენზიის გარეშე.

აუცილებელი მოთხოვნები

java runtime 1.4 or Later
suport ONLY Web Base VPN  - Cisco IOS 12.4(15)T7

Support Web bases and any connect Client - CISCO IOS 12.4(20)T

ლაბროატორიულში გამოყენებული

Cisco IOS

Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3)

ANY Connect Client

anyconnect-win-2.3.2016-k9 გადმოწერა

Web Browsers

FireFox 3.6.8 IE 8

Operartion Systems

Windows XP SP2 and Windows Sever Ultimate 32 bit

კოფიგურაცია

ვაკონფიგურირებთ სერთიფიკაცს

crypto pki trustpoint local
 enrollment selfsigned
 revocation-check crl
 rsakeypair my_key 1024 1024

ვაგენირერებთ სერთიფიკატს და ვრთავთ HTTPS სერვის

crypto pki enroll local

ip http secure-server

სანამ გადავლთ webvpn-ის უშუალო კონფიგურაციამდე ვაკონფიგურირებთ GATEWAY-ს  სადაც მითითებული იქნება  რომელ IP-ზე გამოიყენოს, რომელი სერთიფიკაცი გამოიყენოს, რომელ პორტზე იმუშაოს და თუ გვინდა რომ რომელიმე პორტ-ზე მოსული request გადაამისამართოს ჩვენი webvpn სერვისის პორტზე მაგ: თუ მე80 პროტზ მოხდა მომართვა გადაამისამართოს 443მ პორტზე .ამასაც აქ ვაკონფიგურირებთ

webvpn gateway soho
hostname home
ip address 94.240.203.160 port 443 
ssl trustpoint local
http-redirect port 80
inservice

ვრთავთ AAA მოდელს და ავტორიზაციისთვის ვიყენებთ ლოკალურ ბაზას

aaa new-model
aaa authentication login webvpn local

ვქმნით local address poolს შემდგომაში რასაც გ���მოვიყენებთ any connectი რომ IPები გასცეს კლიენტებისთვის

ip local pool webvpn1 192.168.2.5 192.168.2.10

ვქმნით  loopback ინტერფეის თუ გვინდა რომ ეს ქსელი დაანონსდეს რომელი დინამიურ მარშუტიზაციის პროტოკოლში

interface Loopback2
any Connect
ip address 192.168.2.1 255.255.255.0

ვქმნით access-listს რომელიც შემდეგში გამოიყენებს იმისთვის თუ სად ქონდეს Clientს წვდომა და რომელ პროტოკოლზე ეს SPLIT TUNNELის Access-list ი არ არის SPLIT TUNNELი კეთდება კონტექსტის კონფიგურაციის რეჟიმში

!
ip access-list extended webvpn
permit tcp 192.168.2.0 0.0.0.255 host 192.168.3.100 eq 3389
!

ამის შემგედ გადავდივართ უშუალოს პროფილის შექმნაზე . მიაქციეთ ყურადღება რომ დიზაინის გარკვეულ ელემენტებში არის შეტანილი ცვლილებები

webvpn context txapnia
title "Home WebVpn"
login-photo file flash://ciscologin1.jpg
logo file flash://cisco_funn1.jpg
color grey

secondary-color darkgrey
title-color #515151
ssl authenticate verify all

!
login-message "Enter your creditionals"
!
policy group conft
   functions svc-enabled
   banner "authentication success"
   filter tunnel webvpn
   svc address-pool "webvpn1"
   svc default-domain "conft.community.ge"
   svc keep-client-installed
   svc homepage "http://conft.ge/"
   svc rekey method new-tunnel
   svc split include 192.168.10.0 255.255.255.0
default-group-policy one
aaa authentication list webvpn
gateway soho
inservice
!

ამის შემდეგ ვაყენებთ კლიენტს აუცილებლად კლიენტის ვერისები უნდა იყოს ერთი და იგივე ანუ რასაც ჩვენ გამოვიყენებთ და რასაც აქ დავაყენებთ თუ სხვადასხვა იქნება არ იმუშავებს

webvpn#copy tftp://192.168.10.100/anyconnect-win-2.3.2016-k9.pkg flash

webvpn(config)#webvpn install svc flash:anyconnect-win-2.3.2016-k9.pkg

ამის შემდეგ ვამოწმებთ რომ ხომ დაყენდა კლიენტი

!
webvpn install svc flash:/webvpn/svc_1.pkg sequence 1

!

Any Connect VPNი თუ გვსურს რომ ვებ გვერიდადან დაყენდეს უმჯობესია გამოვიყენოთ  Internet Explorer-ს

ეს არის ის რაც მინოდა მეთქვა ამ პოსტში. შეკითხვების შემთხვევაში შეგიძლიათ მომართოთ