這些年來VPN的使用相當普遍,許多在對岸工作的資訊人必須透過VPN連回台灣,才能呼吸到自由的網路。甚至要取得LINE的免費貼圖,也要連線至外國的VPN伺服器才能辦到。對此,筆者將介紹如何在你的路由器上加入SSL VPN的功能。
虛擬私人網路(VPN)種類繁多,常見的包含PPTP(PPTP本身並沒有加密機制)、IPSec、L2TP,以及本文將介紹的SSL VPN。SSL VPN現今已是相當受歡迎且易於使用的VPN機制。資安廠商均有推出支援SSL VPN的各種產品,身為網通龍頭的Cisco自然也有對應的產品,但價格不菲。
事實上,常見的Cisco路由器只要IOS有支援Security功能,就能讓路由器變成一個好用的SSL VPN Gateway。以下介紹如何在個人的路由器內加入SSL VPN的功能。
行前準備
首先,必須有一台路由器,型號不要太舊,避免不支援SSL VPN。目前支援Cisco IOS SSL VPN的路由器包括:Cisco 870、1800、2800、3700、3800、7200及7301,而存取的人數限制如下所示:
Cisco 870:2
Cisco 1811:10
Cisco 1841及2801:25
Cisco 2811及2821:50
Cisco 2851、3725及3745:75
Cisco 3825及3845:100
Cisco 7200及7301:150
其次,需要準備支援Security Function的IOS,版本的部分請選用12.4(6)T之後的版本。IOS檔名會有advipservicesk9或entservicesk9的字樣。在新版的IOS 15.x中,則需要另行添加Security License。本文以Cisco 871來做為SSL VPN Gateway,其IOS檔名及版本為c870-advipservicesk9-mz.124-15.T6.bin。
在此要提醒一下,原先在路由器上有許多檔案,這些檔案不能刪除,否則在建立SSL VPN連線時,會有找不到網頁的情形。檔案的列表如下:
最後,要準備Package File。若當初購買路由器時購買支援Security的IOS,就能取得相關檔案,或者可自行到Cisco網頁下載。
在此有兩個選擇,其一是securedesktop-ios,此為Cisco提供的視窗版連線軟體,會在建立連線時開啟一個虛擬的桌面供連線,以達到完整保護。
另一為sslclient-win,這是Tunnel Client軟體,會使用Internet Explorer的ActiveX建立Tunnel,在傳輸時以此有加密的Tunnel進行傳輸,以完成傳輸加密的目的,其相較於建立虛擬桌面的方式更便於使用。本文所採用的是建立Tunnel的方式。
測試架構
測試架構如圖1所示,簡言之,此目的是透過Internet存取OFFICE LAN。因此使用電腦軟體與Cisco路由器建立SSL VPN Tunnel。在成功建立Tunnel之後,就可以透過Internet存取辦公室資源,並且資料在存取過程中,將受到身分認證及資料加密的保護。
 |
| ▲圖1 測試架構圖。 |
前置作業
接著進行前置作業,筆者僅講解基本設定的部分,至於原理,就請讀者自行研讀相關資料。
首先上傳pkg檔,這裡使用的是sslclient-win-1.1.4.176.pkg。如果讀者原先就有這個檔案(版本不限),就不需要進行此動作。