SSL VPN - WEB access
Założenia
W przykładzie konfiguracji kanału SSL VPN w opcji "WEB access" zaprezentujemy możliwość udostępnienia zasobów Intranetowych na zewnątrz firmy, poprzez kanał szyfrowany zestawiany bez użycia dedykowanego klienta VPN. Kanały tego typu są zestawione za pomocą przeglądarki internetowej i oprogramowania Java. W naszym przykładzie użytkownik będzie miał dostęp do panelu www centrali telefonicznej tzw. IP-PBX'a.
1.
Konfigurację kanałów SSL VPN wykonujemy w Unified Managerze w lewym menu, gdzie wchodzimy do sekcji VPN -> SSL VPN. W przeciwieństwie do konfiguracji kanałów IPSec nie mamy możliwości wyboru slotów. Wchodzimy od razu do głównego okna konfiguracji. Na samym początku konfiguracji musimy aktywować opcję WEB access w zakładce "Global". W kolejnym kroku w dolnym prawym rogu wybieramy "New" i z menu wybieramy "HTTP Server". Po podaniu nazwy dla nowego kanału SSL VPN w opcji "WEB access" pojawia się nam okno konfiguracyjne.
2.
Konfiguracja jednej usługi dostępnej przez kanał SSL VPN odbywa się w pojedynczym oknie. Musimy zdefiniować i wskazać w tym oknie dwa obiekty. Jednym jest serwer www, który będziemy udostępniać na zewnątrz a drugim obiektem jest port na którym działa nasza usługa. Domyślnie proponowany jest zawsze obiekt "http" przypisany do portu 80. Dodatkowo musimy zdefiniować nazwę usługi jaka pojawi się użytkownikowi po zalogowaniu. W naszym przypadku podaliśmy nazwę "Panel centrali - hakiatele.com" gdyż jako obiekt typu Server podaliśmy "IP-PBX". Dodaliśmy jeszcze parametr "url" gdyż panel centrali wymaga podania ścieżki "hakia/" i lokalne odwołanie do niego odbywa się poprzez stronę: ipcentrali:80/hakia/. Pozwala nam to zdefiniować konkretne miejsce na serwerze www, do którego jest kierowany użytkownik.
3.
Warunkiem koniecznym logowania użytkowników poprzez kanał SSL VPN jest aby NETASQ był zintegrowany z już istniejącą bazą LDAP lub Active Directory albo jak w naszym przypadku testowym miał skonfigurowaną własną bazę LDAP. W opcjach obiektu "user" na zakładce "Authentication" musi być aktywna opcja "Authentication allowed" (dla własnego LDAP'a). Dodatkowo na zakładce "Access" musimy mieć zaznaczoną opcję "By SSL VPN".
4.
Dostęp do zasobów udostępnianych poprzez kanał SSL VPN odbywa się poprzez przeglądarkę internetową. Celem połączenia w przeglądarce wpisujemy https// i adres publiczny naszej sieci. W oknie logowania podajemy nasz login i czas ważności sesji. Następnie podajemy hasło i po poprawnym zalogowaniu powinniśmy otrzymać stronę zawierającą listę serwerów lub usług www udostępnionych dla naszego loginu.
5.
Nasz testowy kanał SSL VPN zadziałał poprawnie gdyż po wejściu w opcję "Panel centrali - hakiatele.com" otrzymaliśmy ekran logowania do panelu centrali. Jak widać w pasku adresu przeglądarki widnieje adres publiczny naszej sieci czyli całość obsługi kanału SSL VPN spoczywa na przeglądarce internetowej.
