Cisco ASA无客户SSL应用隧道组

Question

我正在尝试实现我之前问过的一个问题(思科ASA无客户SSL限制网络访问)的答案。

我的最终目标是在Cisco ASA设备上建立一个SSL，以允许虚拟公司(uni项目)的客户访问特定的DMZ区域。

我已经将下面的行添加到配置中，但是我仍然坚持如何“应用”或“启用”这个隧道组，而不是在第一行中启用默认的webvpn。我是以某种方式将其应用于外部接口，还是与用户用于访问服务的IP地址/URL有关？

webvpn
enable outside
exit

access-list CLIENT-VPN-LIST extended permit tcp object net-outside object net-dmz-client-server eq 3389
access-list CLIENT-VPN-LIST extended deny ip any any

group-policy CLIENT-VPN-POLICY internal
group-policy CLIENT-VPN-POLICY attributes
vpn-filter value CLIENT-VPN-LIST

tunnel-group CLIENT-VPN-GROUP type webvpn
tunnel-group CLIENT-VPN-GROUP general-attributes
authorization-required
default-group-policy CLIENT-VPN-POLICY

编辑，以删除各种要求的输出，以帮助我得到正确的事情，只会使这个问题混淆。

Answer 1

因为您目前在任何隧道组上没有任何组-url或组别名定义，所以您的用户将使用DefaultWEBVPNGroup的设置，这些设置使用本地身份验证(而不是RADIUS、TACACS或LDAP)，并且将使用默认的组策略DfltGrpPolicy。

正因为如此，你有三个选择。

选项1:您可以编辑DfltGrpPolicy，以便它使用您以前创建的VPN过滤器(或者，您也可以将它设置为使用不同的身份验证方法)。如果您这样做，它还会影响到您的站点对站点隧道和其他使用DfltGrpPolicy的任何东西(因为您没有为它们定义的其他策略可供使用)。

为此，您可以键入：

group-policy DfltGrpPolicy attributes
 vpn-filter value CLIENT-VPN-LIST

注:我强烈建议不要选择1.

选项2:您可以编辑DefaultWEBVPNGroup，以便它使用与DefaultRAGroup、DefaultL2LGroup和10.1.1.2的隧道组不同的组策略，这样它们就不会受到影响。

为此，您可以键入：

tunnel-group DefaultWEBVPNGroup general-attributes
 default-group-policy CLIENT-VPN-POLICY

备注:如果您希望对不使用组(别名或组)url的用户进行捕获(All)，则可以使用选项2来指导更具体的设置，但我通常不建议对大多数设置进行修改.

。

选项3:您可以使用先前创建的隧道组，称为CLIENT group，并向其添加一个组别名，以便将用户映射到适当的策略。

为此，您可以键入：

tunnel-group CLIENT-VPN-GROUP webvpn-attributes
 group-alias vpn enable

如果您选择选项3，用户将能够访问您的虚拟专用网通过访问一个网址，如https://<public IP address>/vpn。只要将/vpn附加到末尾，它就会将用户映射到使用该别名/组配置的隧道组，并随后将它们映射到适当的策略。

编辑:这是我的错误，因为我忘记了没有客户端的VPN不像客户端VPN那样使用VPN，而且您必须使用WebType ACL来过滤基于URL或TCP的目的地的流量。

您仍然可以保留现有的VPN过滤器，以防您也希望在客户端上进行相同的筛选，但它不能是相同的ACL，因为它们是不同的类型，这意味着您将有2个ACL，如果您想要修改以后。另一个警告是，WebType ACL不能使用对象或对象组--它们需要是文字的。

要创建WebType ACL，可以将以下内容添加到策略中：

access-list CLIENT-VPN-LIST-WebType webtype permit tcp host 192.168.50.2 eq 3389
access-list CLIENT-VPN-LIST-WebType webtype deny tcp any
access-list CLIENT-VPN-LIST-WebType webtype deny url any

然后，要将其添加到现有的组策略中，可以键入：

group-policy CLIENT-VPN-POLICY attributes
 webvpn
  filter value CLIENT-VPN-LIST-WebType

您将需要从VPN门户登录并返回以使其生效。