Clientless VPN adalah VPN yang disediakan untuk orang2 diluar network kita (Outside), dengan hanya bermodalkan Device yang bisa internetan dengan Web Browser-nya, jadi kita kasi akses untuk karyawan kita (yang lagi diluar kantor) untuk akses resource network kita di

Now how do we do that?!? Let’s jump in (uda mulai ikut2an Keith Barker ini gw)

  • The First One…Create Group Policies for User
    • Intinya disini kita define apa aja yang bole diakses dan tidak bole diakses (ACL-nya ASA) dari HTTP, CIFS, sampe FTP

      *CIFS = Common Internet File System (native file sharing protocol for Windows 2000)

  • The Second One…Create Connection Profile
    • Kita Assign Group yang uda kita buat kedalam suatu set of rules (contoh: VPN ini hanya bole diakses lewat mana)
  • The Third One…Create User and Assign Them to Group Policies and Connection Profile (jadi bisa aja user A misalkan, hanya bole akses web tertentu, tapi metode koneksinya bisa pake macem2)

Here is the topology

Sebenernya bisa aja si pake wizard…tapi gw pengen bahas detil2nya

Create a Group Policies for User

Biasa…masuk ke ASDM (cara installnya ada di post gw yang kemaren2), ke Configuration > Remote Access VPN > Group Policies > add

Kasi nama…trus kasi Banner (kaya “banner motd” yang biasa kita buat)

gw pengen user yang masuk ga bole akses web ini tapi bole akses web itu“, centang Web ACL di-uncheck, click Manage > Add > Add ACL

Gw pilih IPv4 Only (bebas lo pilih yang mana), trus kasi nama, klik OK

Nah, kalo sudah klik ACE (Access-list Control Entry)

Disini kita bisa bikin…user yang masuk VPN XXX ga bole masuk ke Web 192.168.1.1 dan 192.168.1.2 (liat…ada Regular Expression disana…REGEX lagi !?!?!, dimana2 REGEX @_@ )

Trus kita bisa bikin Time Based ACL nya…jadi di izinkan/diblok dari kapan sampe kapan

Setelah di create…pilih ACL yang kita buat tadi untuk Web ACL option-nya

(Optional) “gw pengen user yang masuk VPN XXX uda dikasi list Web2 apa aja yang bisa dimasukkin“, ya kita kasi bookmark

Uncheck Bookmark List, klik Manage

Klik tombol Add dan isi sendiri dah

Notice gw bikin 2 bookmark…192.168.1.1 dan 1.3 (koneksi ke 1.1 kita akan liat hasilnya nanti pas di verifikasi test nya)

Masuk ke Portal (di Page yang sama), uncheck
Inherit, trus klik enable untuk enable bookmark url nya

Setelah selesai…jangan lupa Apply & Save

Next…Connection Profile

Tambahin 1 Connection Profile (jangan pake default…default itu last resort yang dipake ASA klo semuanya fail)

Name dan Alias itu sebenernya sama…Cuma “Name” itu pas kita setting ASDM, sedangkan “Alias” itu nama connection yang User akan liat (jadi user akan konek VPN pake XXX-Alias)

DNS itu optional (gw isi ngasal aja, soalnya klo ga disini rewel…rewel kenapa? Check it yourself haha)

Jangan lupa abis di basic configuration, trus klik Clientless SSL VPN

Nah, di bagian Group URLs, kita bisa setting URL alamat tempat user bisa konek ke Network kita via browser (jadi kita harus ketik alamat ini untuk konek VPN via browser)

Trus untuk bisa User dari Outside Network bisa akses Clientless SSL VPN, kita harus centang/checkallow access” untuk Interface dengan label Outside

Dan, centang “Allow user to select profile” biar bisa milih dia mau masuk ke profile mana

Create VPN User

Masuk ke Remote Access VPN > AAA/Local Users > Local Users > Add

Jgn lupa pilih No ASDM, SSH, Telnet Acess untuk user ini

Trus masuk ke VPN Policy-nya

Uncheck
Group Policy dan Connection Profile, ganti dengan yang uda kita buat tadi…jadi si user pake Policy ini dan Profile itu

LETS TEST IT

Cara pertama…masuk ke web browser, trus ketik https: //[ip outside ASA], tampilannya akan menjadi dibawah ini

Klo kita ga centang “allow user to select connection profile“, itu Group DropDown Box ga ada

Cara kedua…langsung aja ketik full URL nya, “https:// [ip]/xxx

Noh…”welcome to XXX Network“, kek masuk VPN SITUS PORNO ini mah HAHAHA

Setelah masuk…isinya Web2 yang sudah di “pre-defined” alias di bookmark ama kita buat si client

Coba liat…karena ada Web ACL…yang atas (disini isi title bla bla bla…) ga bisa dimasukin, yang bisa adalah website “ABC”

====================================
Monitoring VPN

Masuk ke Monitoring > VPN Statistics > Sessions > filter by Clientless SSL VPN

Nah tu….ada yang make VPN kita…dengan klik Logout, maka user itu tidak lagi terkoneksi ke VPN kita

MARI KITA TENDANG ITU BEDEBAH, NONTON GA BAYAR *ups* !!!

================================

Dah, segitu dulu…

Advertisements