這些年來VPN的使用相當普遍,許多在對岸工作的資訊人必須透過VPN連回台灣,才能呼吸到自由的網路。甚至要取得LINE的免費貼圖,也要連線至外國的VPN伺服器才能辦到。對此,筆者將介紹如何在你的路由器上加入SSL VPN的功能。
tftp://192.168.1.200的IP位址及flash目錄請代換成符合自己環境的設定。
接著安裝pkg檔,方法如下:
svc在此是指SSLVPN Client package,此名詞在之後設定Context時會再出現。
在安裝完成後,可使用dir指令確認是否有產生webvpn的資料夾以及此資料夾中是否產生pkg檔。
配置 SSL VPN
接著進行帳號密碼的相關設定:
然後,啟用新的存取控制指令與功能:
接著設定webvpn登入時使用本機帳號密碼。此處的ssluser只是一個名稱,讀者可自行設定所需的名稱。
再設定一組帳號密碼,供登入SSL VPN時使用。接著,進行IP網段的相關設定:
設定一個IP範圍,讓SSL VPN連線後可取得此IP網段中的IP,筆者設定的是與LAN IP同網段的IP區段。然後,進行SSL VPN Gateway的相關設定:
首先,設定一組Virtual Gateway,其名稱為vpngateway,此時路由器會自動產生一組1024位元(bit)的RSA Key。
接著,使用inservice指令將此服務開啟。最後,設定要在哪個IP上開啟此服務,此例中的Port 443是預設值,若不指定Port,就會使用預設的443,讀者可依自己環境進行調整。
產生Key之後,記得要Write Memory,將之保存。
接著使用dir指令,可以看到在nvram中產生對應的Key:IOS-Self-Sig#1.cer
接著,進行SSL VPN Context的相關設定:
先建立一個名為sslcontext的Context,接著建立名為sslvpn-policy的Policy Group。在此Group中,設定enable svc,並設定其IP範圍為之前設定的sslpool。
最後,設定在與192.168.1.00255進行傳輸時須透過SSL VPN連線,若不設定splie include的話,則所有對外流量均會透過此VPN Tunnel進行傳輸。
接著,設定預設的group-policy為先前設定的sslvpn-policy。要提醒的是,此時還是在Context的設定中。至於身分認證的部分,則設定為之前設定的ssluser。Virtual Gateway的部分則採用先前設定的vpngateway,最後使用inservice來啟用此Context。
此時,在dir webvpn目錄內,就可以看到已經產生webcontext目錄。
設置使用者環境
在此階段,將介紹如何連線至SSL VPN Gateway。由於Cisco使用的是Internet Explorer的ActiveX技術,因此環境限制在Windows Based的OS。另外,Cisco的Web VPN只能用在Windows XP,至於Windows 7的部分,筆者將另行撰文介紹。
在此例中,筆者模擬自己是從大陸連回來的VPN使用者,因此使用的IE為簡體中文。首先,在IE的網址列輸入「https://61.59.26.136 」(請自行替換為自己的IP)。
由於沒有透過公正的第三方驗證身分及交換金鑰,因此會出現一些告警。按一下〔是〕按鈕,繼續此操作,如圖2所示。
 |
| ▲圖2 登入Cisco Web VPN時產生告警。 |