Clientless VPN adalah VPN yang disediakan untuk orang2 diluar network kita (Outside), dengan hanya bermodalkan Device yang bisa internetan dengan Web Browser-nya, jadi kita kasi akses untuk karyawan kita (yang lagi diluar kantor) untuk akses resource network kita di
Now how do we do that?!? Let’s jump in (uda mulai ikut2an Keith Barker ini gw)
-
The First One…Create Group Policies for User
-
Intinya disini kita define apa aja yang bole diakses dan tidak bole diakses (ACL-nya ASA) dari HTTP, CIFS, sampe FTP
*CIFS = Common Internet File System (native file sharing protocol for Windows 2000)
-
-
The Second One…Create Connection Profile
- Kita Assign Group yang uda kita buat kedalam suatu set of rules (contoh: VPN ini hanya bole diakses lewat mana)
- The Third One…Create User and Assign Them to Group Policies and Connection Profile (jadi bisa aja user A misalkan, hanya bole akses web tertentu, tapi metode koneksinya bisa pake macem2)
Here is the topology
Sebenernya bisa aja si pake wizard…tapi gw pengen bahas detil2nya
Create a Group Policies for User
Biasa…masuk ke ASDM (cara installnya ada di post gw yang kemaren2), ke Configuration > Remote Access VPN > Group Policies > add
Kasi nama…trus kasi Banner (kaya “banner motd” yang biasa kita buat)
“gw pengen user yang masuk ga bole akses web ini tapi bole akses web itu“, centang Web ACL di-uncheck, click Manage > Add > Add ACL
Gw pilih IPv4 Only (bebas lo pilih yang mana), trus kasi nama, klik OK
Nah, kalo sudah klik ACE (Access-list Control Entry)
Disini kita bisa bikin…user yang masuk VPN XXX ga bole masuk ke Web 192.168.1.1 dan 192.168.1.2 (liat…ada Regular Expression disana…REGEX lagi !?!?!, dimana2 REGEX @_@ )
Trus kita bisa bikin Time Based ACL nya…jadi di izinkan/diblok dari kapan sampe kapan
Setelah di create…pilih ACL yang kita buat tadi untuk Web ACL option-nya
(Optional) “gw pengen user yang masuk VPN XXX uda dikasi list Web2 apa aja yang bisa dimasukkin“, ya kita kasi bookmark
Uncheck Bookmark List, klik Manage
Klik tombol Add dan isi sendiri dah
Notice gw bikin 2 bookmark…192.168.1.1 dan 1.3 (koneksi ke 1.1 kita akan liat hasilnya nanti pas di verifikasi test nya)
Masuk ke Portal (di Page yang sama), uncheck
Inherit, trus klik enable untuk enable bookmark url nya
Setelah selesai…jangan lupa Apply & Save
Next…Connection Profile
Tambahin 1 Connection Profile (jangan pake default…default itu last resort yang dipake ASA klo semuanya fail)
Name dan Alias itu sebenernya sama…Cuma “Name” itu pas kita setting ASDM, sedangkan “Alias” itu nama connection yang User akan liat (jadi user akan konek VPN pake XXX-Alias)
DNS itu optional (gw isi ngasal aja, soalnya klo ga disini rewel…rewel kenapa? Check it yourself haha)
Jangan lupa abis di basic configuration, trus klik Clientless SSL VPN
Nah, di bagian Group URLs, kita bisa setting URL alamat tempat user bisa konek ke Network kita via browser (jadi kita harus ketik alamat ini untuk konek VPN via browser)
Trus untuk bisa User dari Outside Network bisa akses Clientless SSL VPN, kita harus centang/check “allow access” untuk Interface dengan label Outside
Dan, centang “Allow user to select profile” biar bisa milih dia mau masuk ke profile mana
Create VPN User
Masuk ke Remote Access VPN > AAA/Local Users > Local Users > Add
Jgn lupa pilih No ASDM, SSH, Telnet Acess untuk user ini
Trus masuk ke VPN Policy-nya
Uncheck
Group Policy dan Connection Profile, ganti dengan yang uda kita buat tadi…jadi si user pake Policy ini dan Profile itu
LETS TEST IT
Cara pertama…masuk ke web browser, trus ketik https: //[ip outside ASA], tampilannya akan menjadi dibawah ini
Klo kita ga centang “allow user to select connection profile“, itu Group DropDown Box ga ada
Cara kedua…langsung aja ketik full URL nya, “https:// [ip]/xxx”
Noh…”welcome to XXX Network“, kek masuk VPN SITUS PORNO ini mah HAHAHA
Setelah masuk…isinya Web2 yang sudah di “pre-defined” alias di bookmark ama kita buat si client
Coba liat…karena ada Web ACL…yang atas (disini isi title bla bla bla…) ga bisa dimasukin, yang bisa adalah website “ABC”
====================================
Monitoring VPN
Masuk ke Monitoring > VPN Statistics > Sessions > filter by Clientless SSL VPN
Nah tu….ada yang make VPN kita…dengan klik Logout, maka user itu tidak lagi terkoneksi ke VPN kita
MARI KITA TENDANG ITU BEDEBAH, NONTON GA BAYAR *ups* !!!
================================
Dah, segitu dulu…
Miftah Rahman (Go)-Blog 
Leave a Reply