Petit tutoriel aujourd’hui pour apprendre à configurer un VPN SSL Remote Access Clientless sur un Cisco ASA. Ce type de VPN porte un nom raccourcis : le WebVPN (et c’est comme ça que je vais continuer d’en parler).

Alors à quoi sert le WebVPN concrètement ? Tout simplement à vous connecter au réseau de votre entreprise par le biais d’un navigateur Internet. Le principe du WebVPN est d’être accessible partout, tout le temps car vous n’avez pas besoin d’installer une application pour l’utiliser (c’est le principe du « clientless », il vous faut juste une connexion Internet). Alors bien entendu, le WebVPN reste très limité de base mais permet tout de même la consultation des serveurs Web internes de votre entreprise ou encore de vos serveurs de partage de fichiers (par exemple).

La topologie

Voici la topologie que j’ai utilisé pour ce tutoriel :

J’ai donc un serveur Windows gérant le domaine « labcisco.ccnp » avec des partages de fichiers ainsi qu’un serveur Radius que je vais utiliser pour permettre à mes utilisateurs distants de se connecter via leurs identifiants de domaine (Radius va aller vérifier sur le serveur Windows que les identifiants sont bien identiques). Le boitier ASA possède deux interface : une interface « inside » utilisée pour le réseau interne et une interface « outside » utilisée pour les réseaux extérieurs.

Ce tutoriel ne traite que de la configuration de l’ASA.

Etape 1 : Le certificat SSL

Il faut commencer par générer un certificat SSL que nous allons auto-signer :

hostname asa-cisco
domain-name labcisco.ccnp
!
crypto key generate rsa label SSL-VPN-KEY
!
crypto ca trustpoint LOCALTRUST-ASA
 enrollment self
 fqdn asa-cisco.labcisco.ccnp
 subject-name CN=asa-cisco.labcisco.ccnp
 keypair SSL-VPN-KEY
 crypto ca enroll LOCALTRUST-ASA noconfirm
!
ssl trust-point LOCALTRUST-ASA outside

Etape 2 : Configurer le DNS et autoriser le WebVPN

dns domain-lookup inside
dns server-group DefaultDNS
 name-server 192.168.0.1
 domain-name labcisco.ccnp
!
webvpn
 enable outside

Etape 3 : Configurer Radius comme serveur d’authentification

aaa-server RADIUS protocol radius
aaa-server RADIUS (inside) host Linux-Server.labcisco.ccnp
 key "votre clé secrète"
 authentication-port 1812
 accounting-port 1813
 acl-netmask-convert auto-detect

Attention à bien vérifier les ports utilisés par votre serveur Radius (1812, 1813 ou 1645, 1646).

Etape 4 : Configurer un profil de connexion

Pour information, les profils de connexions sont aussi appelés « tunnel-group » par Cisco.

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol ssl-clientless
!
tunnel-group utilisateurs-nomades type remote-access
tunnel-group utilisateurs-nomades general-attributes
 authentication-server-group RADIUS
 default-group-policy GroupPolicy1
!
tunnel-group utilisateurs-nomades webvpn-attributes
 group-alias Utilisateurs-Nomades enable

Pour personnaliser la page d’accueil, il faut utiliser ASDM et se rendre à l’emplacement suivant : « Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Customization » et modifier le « DfltCustomization ».

Etape 5 : Se connecter

Vous n’avez plus qu’à vous connecter avec votre utilisateur distant en utilisant votre mot de passe du domaine Windows.

Vous pouvez à présent naviguer par le biais de votre navigateur Web et aller consulter, par exemple, le répertoire de votre service.