Đây có phải là mô hình mà bạn cần :

Remote access VPN

Sau đây là cấu hình lab tương tự đã chạy được, tuy nhiên chỉ thiếu phần nat từ ASA ra router. Tôi sẽ post phần này khi nào làm được :p.

Client (.2) -----------(.1) Router (.1)----------- (.2) ASA (.1) ----------- Web server (.11)
________ 192.168.3.0 ____________ 192.168.2.0___________10.0.1.0/24

Cài đặt Webserver lên server địa chỉ 10.0.1.11
Cấu hình router : đặt địa chỉ các interfaces.

Cấu hình ASA :

- đặt địa chỉ cho interface outside (192.168.2.0), inside (10.0.1.0/24)

- làm 1 route default : route outside 0 0 192.168.2.1

- enable webvpn trên interface outside
asa(config)# webvpn
asa(config-webvpn)# enable outside
asa(config)# exit

- enable HTTP server
asa(config)# http server enable

-tạo WebVPN tunnel group tên là WEBVPN-TUNNEL
asa(config)# tunnel-group WEBVPN-TUNNEL type webvpn
asa(config)# tunnel-group WEBVPN-TUNNEL webvpn-attributes
asa(config)# exit

CẤU HÌNH GROUP POLICY

-tạo WEBVPN group và đặt nó là internal
asa(config)# group-policy WEBVPN internal
asa(config)# group-policy WEBVPN attributes
asa(config-group-policy)# vpn-tunnel-protocol webvpn
asa(config-group-policy)# exit

để chứng thực cho user, bạn có thể dùng database local hoặc aaa tuy nhiên đây lại là 1 vấn đề rộng hơn, ta sẽ bàn sau.

-tạo username cisco, password cisco:
asa(config)# username cisco password cisco
-vào submode của username cisco:
asa(config)# username cisco attributes
-áp group policy WEBVPN cho user đã tạo:
asa(config-username)# vpn-group-policy WEBVPN

CẤU HÌNH HTTPS ACCESS

-Tạo danh sách URL. Trong ngoặc kép là chuỗi hiển thị trên màn hình Webvpn
asa(config-username)# url-list URLs "Web server" http://10.0.1.11

-quay trở lại group-policy WEBVPN
asa(config)# group-policy WEBVPN attributes
vào webvpn submode
asa(config-group-policy)# webvpn
asa(config-group-webvpn)# function url-entry
asa(config-group-webvpn)# url-list value URLs



Xong phần cấu hình cho ASA. Bây giờ bạn có thể đứng từ client 192.168.3.2, vào trang web có địa chỉ https://192.168.2.2 và login bằng username cisco, password cisco. Sau đó bạn sẽ được redirect trực tiếp tới trang mặc định của webserver 10.0.1.11

Cách trả lời của bạn PhamLinh chỉ đúng trong mô hình LAB mà bạn đã đưa ra. Trên thực tế thì đó là môi trường internet, mình nghĩ trên con router phía trước bạn cần phải thực hiện static NAT private IP của ASA ra public IP trên Router đã (mục đích của việc này là đảm bảo cho phía Client có thể "thấy" ASA, và nhớ là Web VPN trên ASA chạy trên port 443, bạn cần phải thực hiện static NAT cho chính xác).
Cấu hình Web VPN trên ASA của bạn PhamLinh đưa ra hình như còn thiếu phần Port Forwarding, tốt nhất bạn nên cấu hình bằng ASDM, xem hướng dẫn tại đây http://cisco.com/en/US/products/ps61...8072462a.shtml