Cisco 5500 serisi ASA firewall larda Thin-Client SSL VPN in nasil yapilandirilacagini anlatacagim. Thin-Client SSL VPN, telnet(23), ssh(22), SMTP (25) gibi statik porta sahipuygulamalar icin kullanilmaktadir.Bu tur bir yapıda istemci java tabanli kucuk bir uygulama indirir ve TCPuzerinden guvenli bir erisime sahip olur.NOT: Thin-Client SSL VPN de UDP DESTEKLENMEMEKTEDIR.ASDM ile SSL VPN Konfigurasyonu1. Adim: ASDM i actiktan Configuration alanina gelip VPN sekmesiniseciniz:2. Adim: VPN sekmesinde yer alan WebVPN Access alanini seciniz.Karsiniza asagidaki gibi bir ekran gelecektir. Burada vpn baglantisinin



yapilacagi interface i secip “Enable” butonuna basiyoruz.

Burada uyarmak istedigim bir konu ise, ASDM erisimi yaptiginiz interface denayni zamanda VPN erisimi yapamiyorsunuz. Yine yukaridaki interface lerimizibaz alalim. Soyle ki Outside interface inden ASDM erisimine izin verirsem, buinterface den VPN baglantisi yapamiyorum.3.Adim: Bu adimda ise, VPN kullanarak sistemimize giris yapankullancilarimizin almasini istedigimiz IP havuzunu olusturmamiz gerekiyor.Bunun icin de VPN sekmesi -à IP Address Management -à IP Pools -à Addyolunu takip ediyoruz:




Bu islemin ardindan VPN ile baglanan kullanicilarimiz 192.168.1.0/24uzayindan bir IP alacak.4.Adim: Simdi de port yonlendirme islemini yapacagiz.VPN -à WebVPN -à Port Forwarding ʻ i seciyoruz.Local TCP portu 3045 olarak belirledim. Bu deger yerine 1024 – 65535araliginda bir port numarasi verebilirsiniz.Remote Server: Baglanti kurulacak makinenin IPʼ si. 192.168.2.1 nolu IPʼ yessh erisim izni vermis oluyoruz.




Erisim iznini tanimladiktan sonra yukaridaki gibi bir cikti elde edeceksiniz.5. Adim: Sira geldi VPN icin group policy belirlemeye ve bunu portyonlendirmesi ile iliskilendirmeye.General à Group Policy alanina geliniz. Add butonuna basip “Internal GroupPolicy” i seciniz.Asagidaki goruntuden de gorebileceginiz gibi , Name alanina Group Policynizin ismini yaziyorsunuz.General sekmesinde “Tunneling Protocols” da WebVPNʼ i seciyorsunuz.



Daha sonra ayni ekranda WebVPN alanina gelip, “Functions” bolumunuseciyoruz. Bu alanda ise “Enable auto applet download” ve “Enable port
forwarding” seceneklerini seciyoruz

Yine ayni ekranda “Port Forwarding” bolumune gelelim:

Port forwarding List te onceden olusturmus oldugumuz ssh erisim iznine aityonlendirmeyi seciyoruz. Ayni zamanda Applet Name in onunde bulunanInherit i “uncheck” yapiyoruz.6. Adim: 5. Adimda Group Policy ayarlarini yapmistik. Bu bolumde ise “TunnelGroup” ayarlarini yapip bunu Group Policy miz ile iliskilendirecegiz.General -à Tunnel Group a geliyoruz.
Add butonundan “WebVPN Access” i seciyoruz.
Ekrana gelen menuden Generalà Basic e gecip daha once olusturmusoldugumuz Group Policy i seciyoruz. Tabi bu arada Name bolumundenTunnel Group umuza isim verebiliriz:

Ok e basip “Apply ” dedikten sonra konfigurasyonumuzu kaydediyoruz.7. Adim: Simdi sira kullanici hesabi olusturmaya geldi.General à Users a geciyoruz.


Add butonundan yeni kullanicimizi olusturup, VPN uzerinden erisimine izinvermis oluyoruz.8. Adim: Artik son asama VPN baglantimizi test etmeye geldi. Bunun icin javadestegi olan browser inizdan [Linkleri Görebilmek için ÜYE Olmalısınız!Hemen ÜYE OL!] seklinde giris yapiyoruz. Buradax.x.x.x olarak belirtilen firewallʼ unuzda 2. Asamada etkin duruma getirdiginizinterface in IP si olmalidir. Ben ikinci asamada outside interface ini etkinettigim icin firewall un outside interface ine ait IP m x.x.x.x dir.Olusturmus oldugunuz kullanicinin kullanici adi ve sifre ile giris yaptiktan sonraasagidaki gibi ekran gelecektir karsiniza:



(Bu ekran ciktisi ornektir(alintidir).)Ornegin router2 ye ssh ile baglanmak istediginizde terminalinizden ;ssh 127.0.0.1 –p 3003 –l kullanici_adikomutunu calistirmaniz yeterli.Ya da Router1 e telnet yapacaksaniz;telnet 127.0.0.1 3001demeniz yeterli. Yalniz burada dikkat edilmesi gereken konu IP ile portarasinda : ifadesinin yer almamasidir. (telnet 127.0.0.1:3001 ifadesi yanlistir.)
Komut Satirindan SSL VPN Konfigurasyonu
Simdi de yukarida anlatmis oldugum islemleri komut satirindan yapalim:
ASA Version 7.2(1)
!
hostname ciscoasadomain-name default.domain.invalid
enable password …… encrypted
names
!
!
!— Disaridan R1e ssh erisimi verdik.
port-forward portforward 3045 192.168.2.1 ssh ssh to R1!
!
— WebVPN i aktif ederek yeni bi group policy yaratiyoruz.
group-policy SSL_VPN_GroupPolicy1 internal
group-policy SSL_VPN_GroupPolicy1 attributes
vpn-tunnel-protocol webvpn
!
!—WebVPN icin Group Policy leri konfigure ediliyor.
webvpn
functions port-forward auto-download
!
!—Yeni Olusturulan Group Policy icin ssh_permit isminde olusturulanport-
!—forward konfigurasyou yapiliyor.
port-forward value ssh_permit
!
port-forward-name value Application Access
!— Yeni kullanici yaratiliyor.
username user1 password tJsDLm1UF encrypted
username user1 attributes
vpn-group-policy SSL_VPN_GroupPolicy1
! — Yeni Tunnel Group yaratiliyor ve Group Policy ile iliskilendiriliyor.
tunnel-group SSL_VPN_TunnelGroup1 type webvpn
tunnel-group SSL_VPN_TunnelGroup1 general-attributes
default-group-policy SSL_VPN_GroupPolicy1
!
!
! Outside interface inde webvpn i aktif ediyoruz.
webvpn
enable outside!
! — VPN Pool yaratiliyor.
ip local pool ssl_vpn_pool 192.168.1.0-192.168.1.255 mask 255.255.255.0