Web VPN i dostep do zewnetrznych stron

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Web VPN i dostep do zewnetrznych stron

#1

#1 Post autor: art »

Hej,

Konfiguruje na ASA clientless VPN. Logowanie z outside dziala i widzę zakładki które stworzyłem. Niestety mam dostęp tylko do stron internal, a czy da się da zrobić tak, żeby dostęp był również do stron outside np. onet, google itp ?

A soft: 9.6(2)



Pozdrawiam,

art
Ups I switched again =)

Awatar użytkownika
lxs
wannabe
wannabe
Posty: 177
Rejestracja: 08 sty 2014, 16:27
Lokalizacja: 52.182098, 21.005445

Re: Web VPN i dostep do zewnetrznych stron

#2

#2 Post autor: lxs »

No pewnie, że się da. Nie znam topologii, ani konfiguracji, więc na szybko ci nie powiem jak to włączyć.

martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Re: Web VPN i dostep do zewnetrznych stron

#3

#3 Post autor: martino76 »

art pisze:Hej,

Konfiguruje na ASA clientless VPN. Logowanie z outside dziala i widzę zakładki które stworzyłem. Niestety mam dostęp tylko do stron internal, a czy da się da zrobić tak, żeby dostęp był również do stron outside np. onet, google itp ?

A soft: 9.6(2)



Pozdrawiam,

art

Poczytaj o ASA Split Tunneling http://www.cisco.com/c/en/us/support/do ... ct-00.html

Pozdro,

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: Web VPN i dostep do zewnetrznych stron

#4

#4 Post autor: art »

Hmm, nie wiem czy dobrze zrozumiałem, ale split tunneling działa w ten sposób aby część ruchu nie była wysyłana do ASA'y, tylko wychodziła przez łącze lokalne do Internetu, a nie tunel. Chodzi o to, że dostęp do pewnych zasobów zewnętrznych zlokalizowanych gdzieś w świecie, jest ograniczony do 3 adresów IP, w tym właśnie adresu outside ASA'y.
Ups I switched again =)

martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Re: Web VPN i dostep do zewnetrznych stron

#5

#5 Post autor: martino76 »

Rozumiem, ze nie chcesz by użytkownik po zalogowaniu do ASA, miał dostęp do internetu lokalnie, tylko poprzez ASA. W takim wypadku musisz skonfigurować U-Ternning http://www.cisco.com/c/en/us/support/do ... pn-00.html

Pozdro,

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: Web VPN i dostep do zewnetrznych stron

#6

#6 Post autor: art »

Chcę żeby to było tak: użytkownik wpisuje adres ASA'y w przeglądarce, loguje się. Tam otwiera mu się strona ze zdefiniowanymi BOOKMARKS:
1. onet
2. google
3. zawartość zewnetrzna dostepna z adresu ASA'y
4. jakaś strona w sieci wewnętrznej

I teraz każda z tych stron widzi, że dany użytkownik wszedł na tą stronę z adresu outside ASA'y lub jeśli się nie da jako outside ASA'y to np. jakiś inny adres publiczny, w którego jestem posiadaniu.
Wszystko ma się odbywać za pomocą przeglądarki, nie chcę używać żadnych klientów. Obecnie dostęp mam rozwiązany za pomocą innego serwera VPN ale z tym zawsze są problemy, ludzie nie umieją tego skonfigurować.

P.S. Z taką licencją, jak podano poniżej, jednocześnie może być zalogowanych 750 użytkowników WEB VPN oraz np L2TP (taki standardowy klient windwos), a w tym tylko 2 za pomocą any connecta ?

Kod: Zaznacz cały

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 200            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
Encryption-DES                    : Enabled        perpetual
Encryption-3DES-AES               : Enabled        perpetual
Security Contexts                 : 2              perpetual
Carrier                           : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 750            perpetual
Total VPN Peers                   : 750            perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
Shared License                    : Disabled       perpetual
Total TLS Proxy Sessions          : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
IPS Module                        : Disabled       perpetual
Cluster                           : Enabled        perpetual
Cluster Members                   : 2              perpetual

This platform has an ASA5525 VPN Premium license.
Ups I switched again =)

eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

Re: Web VPN i dostep do zewnetrznych stron

#7

#7 Post autor: eljot »

Clientless zalicza się do licencji anyconnect premium, także masz max 2 licencje na anyconnecta i clientless.

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: Web VPN i dostep do zewnetrznych stron

#8

#8 Post autor: art »

Jaja se robisz ? oO to co oznacza liczba 750 ?
Dobra, znalazłem linka do wyjaśnień licencyjnych...
http://www.ciscopress.com/articles/arti ... ?p=2209314
pogooglałem i wychodzi na to że musiałbym wyłożyć ok 3500$, w GPL'u, za licencję typu perpetual dla 100 użytkowników :-/

A wracając do tematu, czy ktoś ma pomysł czy da się to tak skonfigurować jak ja bym chciał ?

P.S. Czekam na dzień w którym Cisco zgubi się z tymi licencjami, tak jak Microsoft :)
Ups I switched again =)

eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

Re: Web VPN i dostep do zewnetrznych stron

#9

#9 Post autor: eljot »

Nie, jaj sobie nie robię. To jest nawet trochę bardziej skomplikowane, bo nazwy licencji, które aktualnie można kupić ( plus, apex ), nie mają odzwierciedlenia w show version asy. Tu np.:
http://www.firewall.cx/cisco-technical- ... y-vpn.html
masz to w miarę wyjaśnione. 750 to tunele ipsec: site to site i remote access.

ODPOWIEDZ