Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Cliente VPN e acesso do cliente de AnyConnect ao exemplo de configuração do LAN local

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como permitir que o Cisco VPN Client ou o Cliente de mobilidade Cisco AnyConnect Secure alcancem somente seu LAN local quando escavado um túnel no 5500 Series adaptável de uma ferramenta de segurança de Cisco (ASA) ou no 5500-X Series ASA. Esta configuração permite Cisco VPN Client ou o acesso seguro do Cliente de mobilidade Cisco AnyConnect Secure aos recursos corporativos através do IPsec, do secure sockets layer (SSL), ou da versão 2 do intercâmbio de chave de Internet (IKEv2) e ainda dá ao cliente a capacidade para realizar atividades tais como a impressão onde o cliente é encontrado. Se é permitida, o tráfego destinado para o Internet está escavado um túnel ainda ao ASA.

Nota: Esta não é uma configuração para o Split Tunneling, onde o cliente tem acesso unencrypted ao Internet quando conectado ao ASA ou ao PIX. Refira ao PIX/ASA 7.x: Permita o Split Tunneling para clientes VPN no exemplo de configuração ASA para obter informações sobre de como configurar o Split Tunneling no ASA.

Contribuído por Gustavo Medina e por Atri Basu, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Este documento supõe que uma configuração funcional do acesso remoto VPN já existe no ASA.

Refira PIX/ASA 7.x como um servidor de VPN remoto usando o exemplo da configuração ASDM para o Cisco VPN Client se se não é configurado já.

Refira o acesso ASA 8.x VPN com o exemplo de configuração do cliente VPN de AnyConnect SSL para o Cliente de mobilidade Cisco AnyConnect Secure se se não é configurado já.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 9(2)1 do 5500 Series de Cisco ASA
  • Versão 7.1(6) do Cisco Adaptive Security Device Manager (ASDM)
  • Versão Cliente VPN Cisco 5.0.07.0440
  • Versão 3.1.05152 do Cliente de mobilidade Cisco AnyConnect Secure

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Diagrama de Rede

O cliente é ficado situado em uma rede típica do small office/home office (SOHO) e conecta através do Internet ao escritório principal.

Informações de Apoio

Ao contrário de uma encenação clássica do Split Tunneling em que todo o tráfego do Internet é enviado a unencrypted, quando você permite o acesso do LAN local para clientes VPN, permitem aqueles clientes comunicar unencrypted com somente os dispositivos na rede em que é ficado situado. Por exemplo, um cliente o acesso do LAN local seja permitido que quando conectado ao ASA da HOME possa imprimir a sua própria impressora mas para não alcançar o Internet sem primeiramente enviar o tráfego sobre o túnel.

Uma lista de acessos é usada a fim permitir aproximadamente da mesma maneira o acesso do LAN local que o Split Tunneling está configurado no ASA. Contudo, em vez de definir que redes devem ser cifradas, a lista de acessos define neste caso que redes não devem ser cifradas. Também, ao contrário da encenação do Split Tunneling, as redes reais na lista não precisam de ser conhecidas. Em lugar de, o ASA fornece uma rede padrão de 0.0.0.0/255.255.255.255, que é compreendido para significar o LAN local do cliente.

Nota: Quando o cliente é conectado e configurado para o acesso do LAN local, você não pode imprimir ou consultar por nome no LAN local. Contudo, você pode consultar ou imprimir pelo endereço IP de Um ou Mais Servidores Cisco ICM NT. Veja a seção da pesquisa de defeitos deste documento para mais informação assim como de ações alternativas para esta situação.

Configurar o acesso do LAN local para clientes VPN ou o cliente seguro da mobilidade de AnyConnect

Termine estas tarefas a fim permitir o acesso dos Cisco VPN Client ou de Clientes de mobilidade Cisco AnyConnect Secure a seu LAN local quando conectado ao ASA:

Configurar o ASA através do ASDM

Termine estas etapas no ASDM a fim permitir que os clientes VPN tenham o acesso do LAN local quando conectado ao ASA:

  1. Escolha a configuração > o acesso do acesso remoto VPN > da rede (cliente) > a política do grupo e selecione a política do grupo em que você deseja permitir o acesso do LAN local. Clique então editam.



  2. Vai a avançado > o Split Tunneling.



  3. Desmarcar a caixa herdar para a política e escolha-a excluem o liste de redes abaixo.



  4. Desmarcar a caixa herdar para o liste de redes e clique-a então controlam a fim lançar o gerente do Access Control List (ACL).



  5. No ACL Manager, selecione Add > Add ACL... para criar uma nova lista de acesso.



  6. Forneça um nome para a ACL e clique em OK.



  7. Uma vez que o ACL é criado, escolha adicionam o > Add ACE… a fim adicionar uma entrada de controle de acesso (ACE).



  8. Defina o ACE que corresponde ao LAN local do cliente.

    1. Escolha a licença.
    2. Escolha um endereço IP de Um ou Mais Servidores Cisco ICM NT de 0.0.0.0
    3. Escolha uma Máscara de rede de /32.
    4. (Opcional) forneça uma descrição.
    5. Clique em OK.



  9. Clique em OK para sair do ACL Manager.



  10. Seja certo que o ACL que você apenas criou está selecionado para o liste de redes do túnel em divisão.



  11. Clique em OK para retornar à configuração da Política de Grupo.



  12. O clique aplica-se e envia-se então (se for necessário) a fim enviar os comandos ao ASA.

Configurar o ASA através do CLI

Um pouco do que usa o ASDM, você pode terminar estas etapas no ASA CLI a fim permitir que os clientes VPN tenham o acesso do LAN local quando conectado ao ASA:

  1. Incorpore o modo de configuração.

    ciscoasa>enable
    Password:
    ciscoasa#configure terminal
    ciscoasa(config)#


  2. Crie a lista de acessos a fim permitir o acesso do LAN local.

    ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
    ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0


  3. Entre no modo da configuração das normas do grupo para a política que você deseja alterar.

    ciscoasa(config)#group-policy hillvalleyvpn attributes
    ciscoasa(config-group-policy)#


  4. Especifique a política do túnel em divisão. Neste caso, a política excludespecified.

    ciscoasa(config-group-policy)#split-tunnel-policy excludespecified


  5. Especifique a lista de acessos do túnel em divisão. Neste caso, a lista é Local_LAN_Access.

    ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access


  6. Emita este comando:

    ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes


  7. Associe a política do grupo ao grupo do túnel.

    ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn


  8. Retire os dois modos de configuração.

    ciscoasa(config-group-policy)#exit
    ciscoasa(config)#exit
    ciscoasa#


  9. Salve a configuração na RAM não volátil (NVRAM) e pressione Enter quando avisado para especificar o nome de arquivo de origem.

    ciscoasa#copy running-config startup-config

    Source filename [running-config]?
    Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a

    3847 bytes copied in 3.470 secs (1282 bytes/sec)
    ciscoasa#

Configurar o Cisco VPN Client

Termine estas etapas no cliente VPN a fim permitir que o cliente tenha o acesso do LAN local quando conectado ao ASA.

  1. Escolha sua entrada da conexão atual e o clique altera.



  2. Vá ao guia de transporte e a verificação permite o acesso do LAN local. Salvaguarda do clique quando você for feito.

Configurar o Cliente de mobilidade Cisco AnyConnect Secure

A fim configurar o Cliente de mobilidade Cisco AnyConnect Secure, refira o estabelecimento à conexão de VPN SSL com seção SVC de ASA 8.x: Permita o Split Tunneling para o cliente VPN de AnyConnect no exemplo de configuração ASA.

Separação-exclua o Tunelamento exige que você permite AllowLocalLanAccess no cliente de AnyConnect. Todos separação-excluem o Tunelamento são considerados como o acesso do LAN local. A fim usar a característica da exclusão do split-tunneling, você deve permitir a preferência de AllowLocalLanAccess nas preferências do cliente VPN de AnyConnect. À revelia, o acesso do LAN local é desabilitado. 

A fim permitir o acesso do LAN local, e consequentemente separação-excluir o Tunelamento, um administrador de rede pode permiti-lo no perfil ou os usuários podem permiti-lo em seus ajustes das preferências (veja a imagem na próxima seção). A fim permitir o acesso do LAN local, um usuário seleciona a caixa de verificação de acesso do LAN local reservar se o split-tunneling é permitido no gateway seguro e configurado com a separação-túnel-política exclui a política especificada. Além, você pode configurar o perfil do cliente VPN se o acesso do LAN local é permitido com <LocalLanAccess UserControllable= >true</LocalLanAccess> " verdadeiro ".

Preferências de usuário

Estão aqui as seleções que você deve fazer na aba das preferências no Cliente de mobilidade Cisco AnyConnect Secure a fim permitir o acesso do LAN local.

Exemplo do perfil XML

Está aqui um exemplo de como configurar o perfil do cliente VPN com XML.

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic
</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
</AnyConnectProfile>

Verificar

Termine as etapas nestas seções a fim verificar sua configuração.

Conecte com o cliente VPN ou o cliente seguro da mobilidade

Conecte seu cliente VPN ao ASA a fim verificar sua configuração.

  1. Selecione sua entrada de conexão da lista e clique em Connect.



  2. Escolha o estado > as estatísticas… a fim indicar o indicador dos detalhes do túnel onde você pode inspecionar os detalhes do túnel e ver o fluxo de tráfego. Você pode igualmente ver que o LAN local está permitido na seção do transporte.



  3. Clique a aba dos detalhes da rota a fim ver as rotas a que o cliente VPN ainda tem o acesso local.

    Neste exemplo, o acesso do LAN local está permitido ao cliente VPN a 192.168.0.0/24 quando todo tráfego restante for cifrado e enviado através do túnel.

Conecte seu Cliente de mobilidade Cisco AnyConnect Secure ao ASA a fim verificar sua configuração.

  1. Escolha sua entrada de conexão da lista de servidor e o clique conecta.



  2. Escolha indicador avançado para todos os componentes > estatísticas… a fim indicar o modo de túnel. 



  3. Clique a aba dos detalhes da rota a fim ver as rotas a que o Cliente de mobilidade Cisco AnyConnect Secure ainda tem o acesso local.

    Neste exemplo, o acesso do LAN local está permitido ao cliente a 10.150.52.0/22 e a 169.254.0.0/16 quando todo tráfego restante for cifrado e enviado através do túnel.

Veja o log de cliente VPN ou o DARDO para o cliente seguro da mobilidade

Quando você examina o log de cliente VPN, você pode determinar mesmo se o parâmetro que permite o acesso do LAN local está ajustado. A fim ver o log, clique a aba do log no cliente VPN. Clique então configurações de registro a fim ajustar o que é registrado. Neste exemplo, o IKE é ajustado a 3 altos quando todos elementos restantes do log forem ajustados a 1 - ponto baixo.

Cisco Systems VPN Client Version 5.0.07.0440
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 6.1.7601 Service Pack 2

1 14:20:09.532 07/27/06 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.


!--- Output is supressed


18 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005D
Client sending a firewall request to concentrator

19 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client,
Capability= (Centralized Protection Policy).

20 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent,
Capability= (Are you There?).

21 14:20:14.208 07/03/14 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23 14:20:14.208 07/03/14 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems,
Inc ASA5510 Version 9.2(1) built by root on Wed 2-Jun-14 14:45

!--- Local LAN access is permitted and the local LAN is defined.

29 14:20:14.238 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets),
value = 0x00000001

30 14:20:14.238 07/03/14 Sev=Info/5 IKE/0x6300000F
LOCAL_NET #1
subnet = 192.168.0.0
mask = 255.255.255.0
protocol = 0
src port = 0
dest port=0

!--- Output is supressed.

Cliente de mobilidade Cisco AnyConnect Secure

Quando você examina os logs de AnyConnect dos diagnósticos e a ferramenta de relatório (DARDO) empacota, você pode determinar mesmo se o parâmetro que permite o acesso do LAN local está ajustado.

******************************************

Date : 11/25/2011
Time : 13:01:48
Type : Information
Source : acvpndownloader

Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP:
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains:
TrustedDNSServers:
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true



******************************************

Teste o acesso do LAN local com sibilo

Uma maneira adicional de testar que o cliente VPN ainda tem o acesso do LAN local quando escavado um túnel ao fim de cabeçalho de VPN é usar o comando ping na linha de comando de Microsoft Windows. Está aqui um exemplo onde o LAN local do cliente é 192.168.0.0/24 e um outro host esta presente na rede com um endereço IP de Um ou Mais Servidores Cisco ICM NT de 192.168.0.3.

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data&colon;

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Troubleshooting

Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

Incapaz de imprimir por nome ou consultar

Quando o cliente VPN é conectado e configurado para o acesso do LAN local, você não pode imprimir ou consultar por nome no LAN local. Há duas opções disponíveis a fim trabalhar em torno desta situação:

  • Consulte ou imprima pelo endereço IP de Um ou Mais Servidores Cisco ICM NT.

    • A fim consultar, em vez do \ da sintaxe \ sharename, use \ da sintaxe \ x.x.x.x onde x.x.x.x é o endereço IP de Um ou Mais Servidores Cisco ICM NT do computador host.

    • A fim imprimir, mude as propriedades para a impressora de rede a fim usar um endereço IP de Um ou Mais Servidores Cisco ICM NT em vez de um nome. Por exemplo, em vez do \ da sintaxe \ sharename \ printername, \ do uso \ x.x.x.x \ printername, onde x.x.x.x é um endereço IP de Um ou Mais Servidores Cisco ICM NT.


  • Crie ou altere o arquivo do cliente VPN LMHOSTS. Um arquivo LMHOSTS em Microsoft Windows PC permite que você crie mapeamentos estáticos entre nomes de host e endereços IP de Um ou Mais Servidores Cisco ICM NT. Por exemplo, um arquivo LMHOSTS pôde olhar como este:

    192.168.0.3 SERVER1192.168.0.4 SERVER2192.168.0.5 SERVER3


    Na edição profissional do Microsoft Windows XP, o arquivo LMHOSTS é ficado situado em %SystemRoot%\System32\Drivers\Etc. Refira seu documentação Microsoft ou artigo da base de conhecimento microsoft 314108 para mais informação.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 70847