请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 974|回复: 3

【原创】IOS-XE下的SSL-VPN及导航页制作

[复制链接]
发表于 2020-2-12 13:02:24 | 显示全部楼层 |阅读模式
本帖最后由 zylccna2015 于 2020-2-19 10:42 编辑

1.    准备文件
下载anyconnect三个平台对应版本的文件(https://software.cisco.com/download/home/286281283/type/282364313/release/4.8.01090?i=!pp),拷贝到路由器的bootflash:/webvpn目录下
Directory of bootflash:/webvpn/
2204034  -rw-         74680647  Jan 27 2020 21:40:48 +08:00  anyconnect-win-4.8.01090-webdeploy-k9.pkg
2204035  -rw-         47900927  Jan 27 2020 21:41:04 +08:00  anyconnect-macos-4.8.01090-webdeploy-k9.pkg
2204036  -rw-         40935499   Feb 3 2020 11:14:54 +08:00  anyconnect-linux64-4.8.01090-webdeploy-k9.pkg

2.    检查RSA密钥与PKI trustpoint
理论上IOS-XE系统会在首次启动时通过自签生成用于加密和SSH连接的密钥。
Gateway#show crypto key mypubkey rsa
% Key pair was generated at: 22:55:59 CST Jan 23 2020
Key name: TP-self-signed-3031926611
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
  。。。
% Key pair was generated at: 12:25:09 CST Feb 10 2020
Key name: TP-self-signed-3031926611.server
Key type: RSA KEYS
Temporary key
Usage: Encryption Key
Key is not exportable.
Key Data:
  。。。
!
Gateway#sh run | sec crypto pki
crypto pki trustpoint TP-self-signed-3031926611
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3031926611
revocation-check none
rsakeypair TP-self-signed-3031926611
crypto pki certificate chain TP-self-signed-3031926611
certificate self-signed 01
  。。。
        quit
crypto pki certificate pool
cabundle nvram:ios_core.p7b

3.    设置SSH证书认证登录
因为SSL-VPN的账户我们需要在本地建立,但是又不希望这个账号能管理路由器,所以路由器的管理认证方式选择使用证书登录
Gateway#sh run | sec aaa|ssh|line vty 0 4
aaa new-model
aaa authentication login default local
aaa authentication enable default none
!
ip ssh version 2
ip ssh pubkey-chain
  username root
   key-hash ssh-rsa E4DE90405411EEEDEB6E273E61114806
ip ssh server algorithm authentication publickey           !只允许证书认证
!
line vty 0 4
logging synchronous
transport input ssh

4.    配置SSL-VPN
第一步,开AAA设置登录认证方式本地,授权方式本地,建账户

aaa new-model
aaa authentication login sslvpn local
aaa authorization network sslvpn local
!
username tql password 7 XXXX41A
username jiamingrui password 7 1XXXXF507F7D
username sdb password 7 091XXXX5041
username zyl password 7 122XXXX3787079
username sq password 7 XXXXXX81B5F

第二步,设置用于外部连入的域名,同时避开本地HTTP/HTTPS服务占用端口
clock timezone CST 8 0
!
ntp master 1
ntp server cn.pool.ntp.org
!
ip ddns update method 3322
HTTP   
  add http://xxx:xxx@<s>/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 0 0 1 0
interval minimum 0 0 1 0
!
interface Dialer1
ip ddns update hostname kagamigawa.f3322.net
ip ddns update 3322 host members.3322.net
!
ip http server
ip http authentication local
ip http secure-server
ip http secure-port 4430

第三步,配置SSL提案、下发用户授权方案、连入策略、用户认证授权档案,指定文件
crypto ssl proposal sslvpn-proposal
protection rsa-3des-ede-sha1 rsa-rc4128-md5 rsa-aes128-sha1 rsa-aes256-sha1
!
ip local pool sslvpn 192.168.31.100 192.168.31.254
!
crypto ssl authorization policy sslvpn-auth-policy
msie-proxy server 192.168.2.100:8118
homepage http://192.168.0.250/file
pool sslvpn
dns 192.168.0.1
banner This is my personal server and the web traffic you requested is cached on the proxy server. Click to accept or disconnect !写banner
def-domain home.lab
route set access-list 1   !这里直接调用你的PAT使用的ACL即可
!
crypto ssl policy sslvpn-policy
ssl proposal sslvpn-proposal
pki trustpoint TP-self-signed-3031926611 sign
ip interface Dialer1 port 4443 !广域网使用4443端口
!
crypto ssl profile sslvpn-profile
match policy sslvpn-policy
aaa authentication user-pass list sslvpn
aaa authorization group user-pass list sslvpn sslvpn-auth-policy
authentication remote user-pass
max-users 100
!
crypto vpn anyconnect bootflash:/webvpn/anyconnect-win-4.8.01090-webdeploy-k9.pkg sequence 1
crypto vpn anyconnect bootflash:/webvpn/anyconnect-macos-4.8.01090-webdeploy-k9.pkg sequence 2
crypto vpn anyconnect bootflash:/webvpn/anyconnect-linux64-4.8.01090-webdeploy-k9.pkg sequence 3

第四步,测试一下哈


5.    配置SSL-VPN导航页
进入路由器的guestshell中将deply.zip guetshell.tar install.sh 三个文件上传到/bootflash位置后使用root账户运行install.sh即可



配置静态NAT
ip nat inside source static tcp 192.168.0.250 80 interface Dialer1 8000
ip nat inside source static tcp 192.168.0.250 5000 interface Dialer1 5000
6.    效果演示
http://kagamigawa.f3322.net:8000

本帖子中包含更多资源

您需要 思科 CCO 登录 才可以下载或查看,没有帐号?思科 CCO 注册   

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-2-12 14:44:10 | 显示全部楼层
支持下,给自建SSL和有私有云的人提供方便。。。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-2-12 14:58:48 | 显示全部楼层
wuhao0015 发表于 2020-2-12 14:44
支持下,给自建SSL和有私有云的人提供方便。。。

尴尬的一批 单机论坛
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-2-13 12:32:07 | 显示全部楼层
zylccna2015 发表于 2020-2-12 14:58
尴尬的一批 单机论坛

自己弄给自己玩挺好的。注意网络安全。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-3-28 22:19 , Processed in 0.090946 second(s), 37 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表