• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab SSL VPN

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Lab SSL VPN

    Lab SSL VPN

    I.Sơ đồ mạng



    II.Yêu cầu:

    - Cấu hình các router 1 và router 2 thành Web VPN server.
    - Cấu hình trang portal sao cho khi người dùng kết nối thành công, anh ta có thể truy cập mail thông qua SSL VPN.
    - Cài đặt Java vào các máy trạm để có thể kết nối Web VPN.
    - OSPF được dùng giữa các router.

    III. Cấu hình và các bước thực hiện


    Cấu hình router:

    Router làm Web VPN

    LINH#sh run
    !
    version 12.4
    !
    hostname LINH
    !
    aaa new-model
    !
    aaa authentication login default local
    !
    ip cef
    !
    ip domain name linhcompany.com
    ip host mail.linhcompany.com 10.0.2.12
    ip host home.linhcompany.com 10.0.2.12
    ip host www.linhcompany.com 10.0.2.12
    !
    crypto pki trustpoint TP-self-signed-427038573
    enrollment selfsigned
    subject-name cn=IOS-Self-Signed-Certificate-427038573
    revocation-check none
    rsakeypair TP-self-signed-427038573
    !
    crypto pki certificate chain TP-self-signed-427038573
    certificate self-signed 01
    3082024A 308201B3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
    30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
    69666963 6174652D 34323730 33383537 33301E17 0D303830 33313630 38343935
    355A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
    532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3432 37303338
    35373330 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
    quit
    !
    username linh password 0 cisco
    !
    interface FastEthernet0/0
    ip address 172.30.2.2 255.255.255.0
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address 10.0.2.1 255.255.255.0
    duplex auto
    speed auto
    !
    router ospf 30
    log-adjacency-changes
    network 172.30.2.0 0.0.0.255 area 1
    !
    ip http server
    ip http secure-server
    !
    webvpn gateway SNRS-GW
    hostname GW-1
    ip address 172.30.2.2 port 443
    ssl trustpoint TP-self-signed-427038573
    inservice
    !
    webvpn context SSLVPN
    title "VNPRO SNRS WebVPN Page"
    ssl authenticate verify all
    !
    url-list "MYLINKS"

    heading "Quicklinks"
    url-text "Pod Homepage" url-value "home.linhcompany.com"
    !
    login-message "Nhap ID va Password"
    !
    port-forward "Portlist"
    local-port 30020 remote-server "mail.linhcompany.com" remote-port 25 description "SMTP"
    local-port 30021 remote-server "mail.linhcompany.com" remote-port 110 description "POP3"
    local-port 30022 remote-server "mail.linhcompany.com" remote-port 143 description "IMAP"
    !
    policy group SSL-policy
    url-list "MYLINKS"
    port-forward "Portlist"
    banner "Login thanh cong roi do nghen"
    timeout idle 1800
    timeout session 36000
    default-group-policy SSL-policy
    gateway SNRS-GW
    inservice
    !
    !
    end

    LINH#

    Connect vào bằng giao diện web:
    Mở giao diện web gõ địa chỉ https://172.30.2.2 => Enter


















    Cấu hình mail client:

    Tool => account => Add => Mail…


    Trần Mỹ Phúc
    tranmyphuc@hotmail.com
    Hãy add nick để có thông tin đề thi mới nhất :tranmyphuc (Hỗ trợ tối đa cho các bạn tự học)

    Cisco Certs : CCNP (Passed TSHOOT 1000/1000)

    Juniper Certs :
    JNCIP-ENT & JNCIP-SEC
    INSTRUCTORS (No Fee) : CISCO (Professional) , JUNIPER (Professional) , Microsoft ...

    [version 4.0] Ôn tập CCNA



  • #2


















    Vào Start\programs\Mail Enables\MailEnables administrator



    Mọi thắc mắc vui lòng liên hệ mail tranmyphuc@wimaxpro.org hoặc post trực tiếp vào Topic này . Chúng tôi sẽ cố gắng giải đáp nhanh chóng những vướng mắc của các bạn !!!
    Thay mặt tác giả cảm ơn các bạn đã quan tâm đến bài viết này!!!
    Chúc các bạn vui 1!!
    Trần Mỹ Phúc
    tranmyphuc@hotmail.com
    Hãy add nick để có thông tin đề thi mới nhất :tranmyphuc (Hỗ trợ tối đa cho các bạn tự học)

    Cisco Certs : CCNP (Passed TSHOOT 1000/1000)

    Juniper Certs :
    JNCIP-ENT & JNCIP-SEC
    INSTRUCTORS (No Fee) : CISCO (Professional) , JUNIPER (Professional) , Microsoft ...

    [version 4.0] Ôn tập CCNA


    Comment


    • #3
      cho mình hỏi:
      port-forward "Portlist"
      local-port 30020 remote-server "mail.linhcompany.com" remote-port 25 description "SMTP"
      local-port 30021 remote-server "mail.linhcompany.com" remote-port 110 description "POP3"
      local-port 30022 remote-server "mail.linhcompany.com" remote-port 143 description "IMAP"
      phần port-forword là để chuyển đổi các port default sang các port khác, vậy tại sao ở trong cửa sở "Application access" lại vẫn giữ nguyên số port vậy?
      Vậy ý nghĩ thật sự của phần port-forward là gì vậy?
      Nguyễn Vũ Minh

      CCNA
      CCSP in progress
      Cisco Information Security Specialist
      Cisco Firewall Specialist

      Comment


      • #4
        có ai cấu hình tunnel mode trong ssl vpn chưa? chỉ cho mình với!
        Cấu hình của mình như sau mọi ng check lại hộ coi có thiếu cái gì không?

        webvpn gateway SNRS-GW
        hostname GW-1
        ip address 172.30.1.2 port 443
        http-redirect port 80
        ssl trustpoint TP-self-signed-4294967295
        inservice
        !
        webvpn context Default_context
        ssl authenticate verify all
        !
        no inservice
        !
        !
        webvpn context SSLVPN
        title "Minh SSLVPN Page"
        ssl authenticate verify all
        !
        url-list "MYLINKS"
        heading "Quicklinks"
        url-text "Pod Homepage" url-value "mail.minhnv.com"
        !
        nbns-list SHARE
        nbns-server 192.168.1.2 master timeout 10 retries 5
        login-message "Vui long nhap mat khau"
        !
        port-forward "Portlist"
        local-port 30020 remote-server "mail.minhnv.com" remote-port 25 description "SMTP"
        local-port 30021 remote-server "mail.minhnv.com" remote-port 110 description "POP3"
        local-port 30022 remote-server "mail.minhnv.com" remote-port 143 description "IMAP"
        !
        policy group SSL-Policy
        url-list "MYLINKS"
        port-forward "Portlist"
        nbns-list "SHARE"
        functions file-access
        functions file-browse
        functions file-entry
        functions svc-required
        banner "Login Susseccful"
        timeout idle 1800
        timeout session 36000
        svc address-pool "MYPOOL"
        svc default-domain "minhnv.com"
        svc dpd-interval client 20
        svc dpd-interval gateway 10
        svc homepage "Homepage"
        default-group-policy SSL-Policy
        gateway SNRS-GW
        inservice
        !
        !
        end
        Nguyễn Vũ Minh

        CCNA
        CCSP in progress
        Cisco Information Security Specialist
        Cisco Firewall Specialist

        Comment


        • #5
          Originally posted by tranmyphuc1988 View Post
          Lab SSL VPN

          II.Yêu cầu:

          - Cấu hình các router 1 và router 2 thành Web VPN server.
          - Cấu hình trang portal sao cho khi người dùng kết nối thành công, anh ta có thể truy cập mail thông qua SSL VPN.
          - Cài đặt Java vào các máy trạm để có thể kết nối Web VPN.
          - OSPF được dùng giữa các router.

          Hi,
          Xin hoi? cai router 1 va` router 2 la` cisco router model loai na`o thi lam duoc web VPN server ?

          Thanks

          Comment


          • #6
            Bất cứ thiết bị Cisco nào có khả năng chạy các IOS như:

            ADVANCED ENTERPRISE SERVICES c2801-adventerprisek9-mz.124-19.bin
            ADVANCED IP SERVICES c2801-advipservicesk9-mz.124-19.bin
            ADVANCED SECURITY c2801-advsecurityk9-mz.124-19.bin
            AISK9-AESK9 FEAT SET FACTORY UPG FOR BUNDLES

            Bạn có thể lựa các IOS mà trong file name của nó có "k9".
            Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

            Email : dangquangminh@vnpro.org
            https://www.facebook.com/groups/vietprofessional/

            Comment


            • #7
              Hi My Phuc !

              Vay thi cau hinh ssl vpn tren ASA de su dung mail co khac biet gi nhieu ko vay ?

              Comment


              • #8
                Hihihi Các Bro,
                Giờ mình muốn User ở ngoài truy cập VPN vào công ty và User đó chỉ có thể nhận và gửi mail mà thôi hoặc chỉ thấy 1 server nào đó trong mạng hoặc ko thấy được route của những cái khác thì làm sao , Có ai biết hướng dẫn cụ thề với Thanks !!

                Comment


                • #9
                  Chào bạn,

                  Để client quay VPN vào chỉ thấy một nhóm đối tượng nào đó (lớp mạng A, máy server B, hoặc chỉ gửi mail) thì bạn cần bật chức năng split tunneling lên.
                  + Nếu bạn cấu hình bằng SDM thì mặc định nó chưa bật, bạn có thể vào
                  Easy VPN server/ Edit group policy/ split tunneling/ enable split tunneling/ rồi add lớp mạng Lan(vd 192.168.1.0) mà bạn muốn client VPN truy cập vào.
                  + Nếu cấu hình bằng lệnh thì vào
                  crypto isakmp client configuration group xxx
                  acl 101

                  Với ACL 101
                  access-list 101 permit ip 192.168.1.0 0.0.0.255 any

                  Nếu bạn cần port cụ thể thì có thể thêm vào thông qua ACL 101 (trường hợp chỉ cho truy cập server mail chẳng hạn)
                  Phạm Minh Tuấn

                  Email : phamminhtuan@vnpro.org
                  Yahoo : phamminhtuan_vnpro
                  -----------------------------------------------------------------------------------------------
                Trung Tâm Tin Học VnPro
                149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                Tel : (08) 35124257 (5 lines)
                Fax: (08) 35124314

                Home page: http://www.vnpro.vn
                Support Forum: http://www.vnpro.org
                - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                - Phát hành sách chuyên môn
                - Tư vấn và tuyển dụng nhân sự IT
                - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                Network channel: http://www.dancisco.com
                Blog: http://www.vnpro.org/blog

                Comment


                • #10
                  A tranmyphuc có thể hướng dẫn cụ thể hơn được không?E chưa hiểu lắm,về các bước tiến hành,và vào đâu để cài đăt mail cho Client.Em xin cảm ơn.Nếu có thể a có bài hướng dẫn chi tiết a gửi vào mail trangiap84@gmail.com cho e nhé!

                  Comment

                  • Working...
                    X