這些年來VPN的使用相當普遍,許多在對岸工作的資訊人必須透過VPN連回台灣,才能呼吸到自由的網路。甚至要取得LINE的免費貼圖,也要連線至外國的VPN伺服器才能辦到。對此,筆者將介紹如何在你的路由器上加入SSL VPN的功能。
登入後,在右方的Username及Password輸入剛剛設定的使用者名稱及密碼,並按下〔Login〕按鈕,如圖3所示。
 |
| ▲圖3 登入Cisco Web VPN。 |
登入後,在畫面右邊有Tunnel Connection選項,按一下〔Start〕按鈕,如圖4所示。
 |
| ▲圖4 啟動Tunnel Connection。 |
接著開始一連串的環境設定,首先是安裝ActiveX的部分,先按下〔確定〕,然後按上方的提示區,進行ActiveX的安裝及設定,如圖5所示。
 |
| ▲圖5 安裝ActiveX。 |
安裝ActiveX後,會出現憑證的認證警告訊息,直接按下〔是〕按鈕以查看此憑證並進行匯入,如圖6所示。
 |
| ▲圖6 查看憑證內容。 |
在此可以看一下頒發給誰及頒發者的名稱,並且可以在路由器中show run做比對。
兩者的編號應該是一致的。如果沒有問題,就按下〔安裝證書〕按鈕,進行憑證的匯入,如圖7所示。
 |
| ▲圖7 安裝憑證。 |
成功安裝憑證之後,整個安裝的過程就完成了。此時桌面右下角會出現一個鎖的圖示。將滑鼠游標移過去,可以看到其說明為Cisco Systems SSL VPN Client,如圖8所示。
 |
| ▲圖8 出現Cisco Systems SSL VPN Client圖示。 |
對該圖示連按兩下滑鼠左鍵,可以看到相關統計資訊,包含Server和Client的IP,以及加密方式與已建立連線的時間,如圖9所示。
 |
| ▲圖9 查看SSL VPN相關統計。 |
此時亦可切換至〔Route Details〕活頁標籤內,查看針對哪些網段的傳輸會進行加密,如圖10所示。在此例中,加密的網段為先前設定的192.168.1.0 255.255.255.0。
 |
| ▲圖10 查看進行加密的網段。 |
最後,可以將webvpn context中的svc split include 192.168.1.0 255.255.255.0的設定拿掉,並重新進行連線。此時Secure Routes的部分會變成預設的0.0.0.0 0.0.0.0。
因此,之後的對外連線均會透過此SSL VPN Gateway進行,若是有連出Internet的需求,必須再自行增加NAT的相關設定。驗證的部分如圖11所示。
 |
| ▲圖11 修改Secure Routes進行驗證。 |
結語
VPN的建立方式有很多,在此僅以Cisco IOS SSL VPN(WebVPN)做一個簡單環境的介紹與建立。但由於Cisco的產品區隔,此架構只能用於Windows XP的環境。
之後若有機會,筆者再撰文介紹如何在Windows 7的環境中建立PPTP及IPSec的VPN連線,屆時若有此需求的讀者可再依自己的需求取用。
<本文作者:丁光立,在ISP工作多年。對於Cisco設備較熟悉,除此之外也研究Linux,這幾年慢慢把觸角伸到資安的領域,並會在自己的blog(http://tiserle.blogspot.com/)分享一些實務上的經驗和測試心得。>