Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA 9.x: Exemplos de configuração degerencio do cliente VPN de AnyConnect

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como estabelecer uma liberação adaptável da ferramenta de segurança (ASA) 9.1(2) a fim executar o secure sockets layer (SSL) VPN em uma vara com o Cisco AnyConnect VPN Client. Esta instalação aplica-se a um caso específico onde o ASA não permita o Split Tunneling e os usuários conectem diretamente ao ASA antes que estejam permitidos para ir ao Internet.

Nota:  A fim evitar uma sobreposição dos endereços IP de Um ou Mais Servidores Cisco ICM NT na rede, atribua um pool completamente diferente dos endereços IP de Um ou Mais Servidores Cisco ICM NT ao cliente VPN (por exemplo, 10.x.x.x, 172.16.x.x, e 192.168.x.x). Este esquema de endereçamento de IP é útil a fim pesquisar defeitos sua rede.

Hairpinning ou Inversão de Sentido

Esta característica é útil para o tráfego VPN que incorpora uma relação, mas é distribuída então fora dessa mesma relação. Por exemplo, se você tem uma rede VPN do Hub-and-Spoke onde a ferramenta de segurança fosse o hub e as redes VPN remotas fossem spokes, para que um falou para comunicar-se com um outro tráfego do spoke deve sair à ferramenta de segurança e então outra vez ao outro spoke.

Inscreva o comando same-security-traffic a fim permitir que o tráfego incorpore e retire a mesma relação.

ciscoasa(config)#same-security-traffic permit intra-interface

Contribuído por Yamil Gazel e por Gustavo Medina, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Cisco recomenda que você cumpre estas exigências antes que você tente esta configuração:

  • A ferramenta de segurança do hub ASA precisa de executar a liberação 9.x.

  • Cisco AnyConnect VPN Client 3.x

    Nota: Faça download do pacote do AnyConnect VPN Client (anyconnect-win*.pkg) do Download de Software Cisco (somente clientes registrados). Copie o AnyConnect VPN client para a memória flash do ASA, a qual será transferida para os computadores do usuário remoto a fim de estabelecer a conexão VPN SSL com o ASA. Consulte a seção Instalação do AnyConnect Client do guia de configuração do ASA para obter mais informações.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 5500 Series ASA que executa a versão de software 9.1(2)

  • Versão do cliente VPN de Cisco AnyConnect SSL para Windows 3.1.05152

  • PC que executa um OS apoiado pela carta da compatibilidade.

  • Versão 7.1(6) do Cisco Adaptive Security Device Manager (ASDM)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

O Cisco AnyConnect VPN Client fornece conexões SSL seguras ao Security Appliance para usuários remotos. Sem um cliente previamente instalado, os usuários remotos inserem o endereço IP em seu navegador de uma interface configurada para aceitar conexões VPN SSL. A menos que o Security Appliance seja configurado para redirecionar pedidos de http:// para https://, os usuários deverão inserir o URL na forma https://<endereço>.

Depois que a URL é incorporada, o navegador conecta a essa relação e indica a tela de login. Se o usuário satisfizer o login e a autenticação, e o Security Appliance identificar que o usuário necessita do cliente, ele faz o download do cliente correspondente ao sistema operacional do computador remoto. Depois que a transferência, o cliente instala e se configura, estabelece uma conexão SSL segura e sobras ou desinstala-se (isto depende da configuração da ferramenta de segurança) quando a conexão termina.

No caso de um cliente previamente instalado, quando o usuário autentica, o Security Appliance examina a revisão do cliente e faz seu upgrade conforme o necessário.

Quando o cliente negocia uma conexão de VPN SSL com a ferramenta de segurança, conecta com o Transport Layer Security (TLS), e igualmente usa a Segurança da camada de transporte de datagram (DTL). Os DTL evitam a latência e os problemas de largura de banda associados com algumas conexões SSL e melhoram o desempenho dos aplicativos em tempo real que são sensíveis aos retardos do pacote.

O AnyConnect Client pode ser obtido do Security Appliance ou pode ser instalado manualmente no PC remoto pelo administrador do sistema. Para obter mais informações sobre de como instalar manualmente o cliente, refira o guia do administrador do Cisco AnyConnect VPN Client.

A ferramenta de segurança transfere o cliente baseado na política do grupo ou em atributos username do usuário que estabelece a conexão. Você pode configurar o Security Appliance para fazer o download automático do cliente ou para perguntar ao usuário remoto se ele deseja fazer o download. No último caso, se o usuário não responder, você poderá configurar o Security Appliance para fazer o download do cliente após um período de timeout ou apresentar a página de login.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Cliente VPN de AnyConnect para os Internet públicas VPN em um exemplo de configuração da vara

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

O ASA libera 9.1(2) configurações com liberação ASDM 7.1(6)

Este documento supõe que a configuração básica, tal como a configuração da interface, está terminada já e trabalha corretamente.

Nota: Refira configurar o acesso HTTPS para o ASDM a fim permitir que o ASA seja configurado pelo ASDM.

Nota: Na liberação 8.0(2) e mais atrasado, o ASA apoia sessões dos sem clientes SSL VPN (WebVPN) e sessões administrativas ASDM simultaneamente na porta 443 da interface externa. Nas versões mais cedo do que a liberação 8.0(2), o WebVPN e o ASDM não podem ser permitidos na mesma relação ASA a menos que você mudar os números de porta. Consulte ASDM e WebVPN Habilitados na Mesma Interface do ASA para obter mais informações.

Termine estas etapas a fim configurar o SSL VPN em uma vara no ASA:

  1. Escolha a configuração > instalação de dispositivo > relações e verificam o tráfego da possibilidade entre dois ou mais anfitriões conectados à mesma caixa de verificação de interface a fim permitir que o tráfego SSL VPN incorpore e retire a mesma relação. Clique em Apply.

    Configuração via CLI Equivalente:

    ciscoasa(config)#same-security-traffic permit intra-interface
  2. Escolha a configuração > o acesso remoto VPN > do acesso > da atribuição de endereço > dos conjuntos de endereços da rede (cliente) > Add a fim criar um vpnpool do pool do endereço IP de Um ou Mais Servidores Cisco ICM NT.

  3. Clique em Apply.

    Configuração via CLI Equivalente:

    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0
  4. Ative o WebVPN.
    1. Selecione Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles e, sob Access Interfaces, clique nas caixas de seleção Allow Access e Enable DTLS para a interface externa. Além disso, marque a caixa de seleção Enable Cisco AnyConnect VPN Client or legacy SSL VPN Client access on the interface selected in the table below para ativar a VPN SSL na interface externa.

    2. Clique em Apply.
    3. Escolha o > Add da configuração > do acesso do acesso remoto VPN > da rede (cliente) > do software do cliente de Anyconnect a fim adicionar a imagem do Cisco AnyConnect VPN Client da memória Flash do ASA como mostrada.

      Configuração via CLI Equivalente:

      ciscoasa(config)#webvpn
      ciscoasa(config-webvpn)#enable outside
      ciscoasa(config-webvpn)#anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1
      ciscoasa(config-webvpn)#tunnel-group-list enable
      ciscoasa(config-webvpn)#anyconnect enable
  5. Configure a Política de Grupo.
    1. Selecione Configuration > Remote Access VPN > Network (Client) Access > Group Policies para criar uma política de grupo interna clientgroup. Na guia General, marque a caixa de seleção SSL VPN Client para ativar a WebVPN como protocolo de tunelamento.

    2. No avançado > a aba do Split Tunneling, escolhe o túnel todas as redes da lista de drop-down da política da política a fim fazer todos os pacotes que vêm do PC remoto através de um túnel seguro.

      Configuração via CLI Equivalente:

      ciscoasa(config)#group-policy clientgroup internal
      ciscoasa(config)#group-policyclientgroup attributes
      ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client
      ciscoasa(config-group-policy)#split-tunnel-policy tunnelall
  6. Escolha a configuração > o acesso remoto VPN > dos usuários > dos usuários locais AAA/Local > Add a fim criar uma conta de novo usuário ssluser1. Clique em OK e, em seguida, em Apply.

    Configuração via CLI Equivalente:

    ciscoasa(config)#username ssluser1 password asdmASA@
  7. Configure o Grupo de Túneis.
    1. Escolha a configuração > o acesso do acesso remoto VPN > da rede (cliente) > o > Add dos perfis de conexão de Anyconnect a fim criar um sslgroup novo do grupo de túneis.
    2. Na guia Basic, você pode executar a lista de configurações como mostrado:
      • Nomeie o grupo de túneis como sslgroup.
      • Sob a atribuição de endereço de cliente, escolha o vpnpool do conjunto de endereços da lista de drop-down das associações do endereço de cliente.
      • Sob a política do grupo padrão, escolha o clientgroup da política do grupo da lista de drop-down da política do grupo.

      • Sob o avançado > o grupo aba aliás/grupo URL, especifica o nome de pseudônimo do grupo como sslgroup_users e clica a APROVAÇÃO.

        Configuração via CLI Equivalente:

        ciscoasa(config)#tunnel-group sslgroup type remote-access
        ciscoasa(config)#tunnel-group sslgroup general-attributes
        ciscoasa(config-tunnel-general)#address-pool vpnpool
        ciscoasa(config-tunnel-general)#default-group-policy clientgroup
        ciscoasa(config-tunnel-general)#exit
        ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
        ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable
  8. Configurar o NAT
    1. Escolha a configuração > o Firewall > das regras NAT regra NAT do “objeto de rede” do > Add assim o tráfego que vem da rede interna pode ser traduzido com o endereço IP externo 172.16.1.1.

    2. Escolha a configuração > o Firewall > das regras NAT regra NAT do “objeto de rede” do > Add assim o tráfego que o tráfego VPN que vem da rede externa pode ser traduzido com o endereço IP externo 172.16.1.1.

      Configuração via CLI Equivalente:

      ciscoasa(config)# object network obj-inside
      ciscoasa(config-network-object)# subnet 10.77.241.128 255.255.255.192
      ciscoasa(config-network-object)# nat (inside,outside) dynamic interface
      ciscoasa(config)# object network obj-AnyconnectPool
      ciscoasa(config-network-object)# subnet 192.168.10.0 255.255.255.0
      ciscoasa(config-network-object)# nat (outside,outside) dynamic interface

O ASA libera 9.1(2) a configuração no CLI

ciscoasa(config)#show running-config
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.77.241.142 255.255.255.192
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface

!--- Command that permits the SSL VPN traffic to enter and exit the same interface.

object network obj-AnyconnectPool
subnet 192.168.10.0 255.255.255.0
object network obj-inside
subnet 10.77.241.128 255.255.255.192

!--- Commands that define the network objects we will use later on the NAT section.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-inside obj-inside destination static
obj-AnyconnectPool obj-AnyconnectPool

!--- The Manual NAT that prevents the inside network from getting translated
when going to the Anyconnect Pool.

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface
object network obj-inside
nat (inside,outside) dynamic interface

!--- The Object NAT statements for Internet access used by inside users and
Anyconnect Clients.
!--- Note: Uses an RFC 1918 range for lab setup.

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
webvpn
enable outside


!--- Enable WebVPN on the outside interface


anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image


anyconnect enable


!--- Enable the security appliance to download SVC images to remote computers


tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
vpn-tunnel-protocol ssl-client


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
address-pool vpnpool


!--- Associate the address pool vpnpool created


default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Permita uma comunicação entre clientes VPN de AnyConnect com a configuração de TunnelAll no lugar

Diagrama de Rede

Se uma comunicação entre clientes de Anyconnect é exigida e o NAT para Internet públicas em uma vara é no lugar; um NAT manual é precisado igualmente de permitir uma comunicação bi-direcional.

Este é um cenário comum quando os clientes de Anyconnect usam serviços de telefone e devem poder se chamar.

O ASA libera 9.1(2) configurações com liberação ASDM 7.1(6)

Escolha a configuração > o Firewall > das regras NAT regra do > Add NAT antes que o “objeto de rede” NAT ordene assim o tráfego que que vem da rede externa (pool de Anyconect) e destinou a um outro cliente de Anyconnect do mesmo pool não obtém traduzida com o endereço IP externo 172.16.1.1.

Configuração via CLI Equivalente:

nat (outside,outside) source static obj-AnyconnectPool obj-AnyconnectPool destination
static obj-AnyconnectPool obj-AnyconnectPool

O ASA libera 9.1(2) a configuração no CLI

ciscoasa(config)#show running-config
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.77.241.142 255.255.255.192
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface

!--- Command that permits the SSL VPN traffic to enter and exit the same interface.

object network obj-AnyconnectPool
subnet 192.168.10.0 255.255.255.0
object network obj-inside
subnet 10.77.241.128 255.255.255.192

!--- Commands that define the network objects we will use later on the NAT section.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-inside obj-inside destination static
obj-AnyconnectPool obj-AnyconnectPool
nat (outside,outside) source static obj-AnyconnectPool obj-AnyconnectPool
destination static obj-AnyconnectPool obj-AnyconnectPool

!--- The Manual NAT statements used so that traffic from the inside network
destined to the Anyconnect Pool and traffic from the Anyconnect Pool destined
to another Client within the same pool does not get translated.

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface
object network obj-inside
nat (inside,outside) dynamic interface

!--- The Object NAT statements for Internet access used by inside users and
Anyconnect Clients.
!--- Note: Uses an RFC 1918 range for lab setup.

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
webvpn
enable outside


!--- Enable WebVPN on the outside interface


anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image


anyconnect enable


!--- Enable the security appliance to download SVC images to remote computers


tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
vpn-tunnel-protocol ssl-client


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
address-pool vpnpool


!--- Associate the address pool vpnpool created


default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Permita uma comunicação entre clientes VPN de AnyConnect com o túnel em divisão

Diagrama de Rede

Se uma comunicação entre clientes de Anyconnect é exigida e o túnel em divisão está sendo usado; nenhum NAT manual está exigido a fim permitir uma comunicação bi-direcional a menos que houver uma regra NAT que afete este tráfego configurado. Contudo o pool de Anyconnect VPN deve ser incluído no túnel em divisão ACL.

Este é um cenário comum quando os clientes de Anyconnect usam serviços de telefone e devem poder se chamar.

O ASA libera 9.1(2) configurações com liberação ASDM 7.1(6)

  1. Escolha a configuração > o acesso remoto VPN > do acesso > do endereço da rede (cliente) > Add dos conjuntos de endereços de Assignment> a fim criar um vpnpool do pool do endereço IP de Um ou Mais Servidores Cisco ICM NT.

  2. Clique em Apply.

    Configuração via CLI Equivalente:

    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0
  3. Ative o WebVPN.
    1. Selecione Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles e, sob Access Interfaces, clique nas caixas de seleção Allow Access e Enable DTLS para a interface externa. Além disso, marque a caixa de seleção Enable Cisco AnyConnect VPN Client or legacy SSL VPN Client access on the interface selected in the table below para ativar a VPN SSL na interface externa.

    2. Clique em Apply.
    3. Escolha o > Add da configuração > do acesso do acesso remoto VPN > da rede (cliente) > do software do cliente de Anyconnect a fim adicionar a imagem do Cisco AnyConnect VPN Client da memória Flash do ASA como mostrada.

      Configuração via CLI Equivalente:

      ciscoasa(config)#webvpn
      ciscoasa(config-webvpn)#enable outside
      ciscoasa(config-webvpn)#anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1
      ciscoasa(config-webvpn)#tunnel-group-list enable
      ciscoasa(config-webvpn)#anyconnect enable
  4. Configure a Política de Grupo.
    1. Selecione Configuration > Remote Access VPN > Network (Client) Access > Group Policies para criar uma política de grupo interna clientgroup. Na guia General, marque a caixa de seleção SSL VPN Client para ativar a WebVPN como protocolo de tunelamento.

    2. No avançado > a aba do Split Tunneling, escolhe a lista da rede de túnel abaixo da lista de drop-down da política a fim fazer todos os pacotes que vêm do PC remoto através de um túnel seguro.

      Configuração via CLI Equivalente:

      ciscoasa(config)#access-list SPLIt-ACL standard permit 10.77.241.0 255.255.255.0
      ciscoasa(config)#access-list SPLIt-ACL standard permit 192.168.10.0 255.255.255.0

      ciscoasa(config)#group-policy clientgroup internal
      ciscoasa(config)#group-policy clientgroup attributes
      ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client
      ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
      ciscoasa(config-group-policy)#split-tunnel-network-list SPLIt-ACL
  5. Escolha a configuração > o acesso remoto VPN > dos usuários > dos usuários locais AAA/Local > Add a fim criar uma conta de novo usuário ssluser1. Clique em OK e, em seguida, em Apply.

    Configuração via CLI Equivalente:

    ciscoasa(config)#username ssluser1 password asdmASA@
  6. Configure o Grupo de Túneis.
    1. Escolha a configuração > o acesso do acesso remoto VPN > da rede (cliente) > o > Add dos perfis de conexão de Anyconnect a fim criar um sslgroup novo do grupo de túneis.
    2. Na guia Basic, você pode executar a lista de configurações como mostrado:
      • Nomeie o grupo de túneis como sslgroup.
      • Sob a atribuição de endereço de cliente, escolha o vpnpool do conjunto de endereços da lista de drop-down das associações do endereço de cliente.
      • Sob a política do grupo padrão, escolha o clientgroup da política do grupo da lista de drop-down da política do grupo.

      • Sob o avançado > o grupo aba aliás/grupo URL, especifica o nome de pseudônimo do grupo como sslgroup_users e clica a APROVAÇÃO.

        Configuração via CLI Equivalente:

        ciscoasa(config)#tunnel-group sslgroup type remote-access
        ciscoasa(config)#tunnel-group sslgroup general-attributes
        ciscoasa(config-tunnel-general)#address-pool vpnpool
        ciscoasa(config-tunnel-general)#default-group-policy clientgroup
        ciscoasa(config-tunnel-general)#exit
        ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
        ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

O ASA libera 9.1(2) a configuração no CLI

 

ciscoasa(config)#show running-config
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.77.241.142 255.255.255.192
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface

!--- Command that permits the SSL VPN traffic to enter and exit the same interface.

object network obj-inside
subnet 10.77.241.128 255.255.255.192

!--- Commands that define the network objects we will use later on the NAT section.

access-list SPLIt-ACL standard permit 10.77.241.0 255.255.255.0
access-list SPLIt-ACL standard permit 192.168.10.0 255.255.255.0

!--- Standard Split-Tunnel ACL that determines the networks that should travel the
Anyconnect tunnel.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0

!--- The address pool for the Cisco AnyConnect SSL VPN Clients

no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-inside obj-inside destination static
obj-AnyconnectPool obj-AnyconnectPool

!--- The Manual NAT that prevents the inside network from getting translated when
going to the Anyconnect Pool

object network obj-inside
nat (inside,outside) dynamic interface

!--- The Object NAT statements for Internet access used by inside users.
!--- Note: Uses an RFC 1918 range for lab setup.

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
webvpn
enable outside


!--- Enable WebVPN on the outside interface


anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image


anyconnect enable


!--- Enable the security appliance to download SVC images to remote computers


tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
vpn-tunnel-protocol ssl-client


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelspecified


!--- Encrypt only traffic specified on the split-tunnel ACL coming from the SSL
VPN Clients.


split-tunnel-network-list value SPLIt-ACL


!--- Defines the previosly configured ACL to the split-tunnel policy.

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
address-pool vpnpool


!--- Associate the address pool vpnpool created


default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • mostre aos SVC-indicadores VPN-sessiondb a informação sobre as conexões SSL atuais.

    ciscoasa#show vpn-sessiondb anyconnect

    Session Type: SVC

    Username : ssluser1 Index : 12
    Assigned IP : 192.168.10.1 Public IP : 192.168.1.1
    Protocol : Clientless SSL-Tunnel DTLS-Tunnel
    Encryption : RC4 AES128 Hashing : SHA1
    Bytes Tx : 194118 Bytes Rx : 197448
    Group Policy : clientgroup Tunnel Group : sslgroup
    Login Time : 17:12:23 IST Mon Mar 24 2008
    Duration : 0h:12m:00s
    NAC Result : Unknown
    VLAN Mapping : N/A VLAN : none
  • mostre dos grupo-pseudônimo-indicadores do webvpn configurado aliás para vários grupos.
    ciscoasa#show webvpn group-alias
    Tunnel Group: sslgroup Group Alias: sslgroup_users enabled
  • No ASDM, escolha a monitoração > o VPN > as estatísticas de VPN > as sessões a fim conhecer as sessões atual no ASA.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

  • <username>-Command do nome do fazer logoff VPN-sessiondb para terminar a sessão de VPN SSL para o username particular.
    ciscoasa#vpn-sessiondb logoff name ssluser1
    Do you want to logoff the VPN session(s)? [confirm] Y
    INFO: Number of sessions with name "ssluser1" logged off : 1

    ciscoasa#Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0xB000)

    Similarmente, você pode usar o comando do anyconnect do fazer logoff VPN-sessiondb a fim terminar todas as sessões de AnyConnect.

  • debugar o anyconnect <1-255>-Provides do webvpn os eventos do webvpn do tempo real a fim estabelecer a sessão.
    Ciscoasa#debug webvpn anyconnect 7
    CSTP state = HEADER_PROCESSING
    http_parse_cstp_method()
    ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'Host: 10.198.16.132'
    Processing CSTP header line: 'Host: 10.198.16.132'
    webvpn_cstp_parse_request_field()
    ...input: 'User-Agent: Cisco AnyConnect VPN Agent for Windows 3.1.05152'
    Processing CSTP header line: 'User-Agent: Cisco AnyConnect VPN Agent for Windows
    3.1.05152'
    Setting user-agent to: 'Cisco AnyConnect VPN Agent for Windows 3.1.05152'
    webvpn_cstp_parse_request_field()
    ...input: 'Cookie: webvpn=146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    Processing CSTP header line: 'Cookie: webvpn=
    146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    Found WebVPN cookie: 'webvpn=146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    WebVPN Cookie: 'webvpn=146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Version: 1'
    Processing CSTP header line: 'X-CSTP-Version: 1'
    Setting version to '1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Hostname: WCRSJOW7Pnbc038'
    Processing CSTP header line: 'X-CSTP-Hostname: WCRSJOW7Pnbc038'
    Setting hostname to: 'WCRSJOW7Pnbc038'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-MTU: 1280'
    Processing CSTP header line: 'X-CSTP-MTU: 1280'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Address-Type: IPv6,IPv4'
    Processing CSTP header line: 'X-CSTP-Address-Type: IPv6,IPv4'
    webvpn_cstp_parse_request_field()
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Base-MTU: 1300'
    Processing CSTP header line: 'X-CSTP-Base-MTU: 1300'
    webvpn_cstp_parse_request_field()
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Full-IPv6-Capability: true'
    Processing CSTP header line: 'X-CSTP-Full-IPv6-Capability: true'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Master-Secret: F1810A764A0646376F7D254202A0A602CF075972F91EAD1
    9BB6BE387BB8C6F893BFB49886D47F9A4BE2EA2A030BF620D'
    Processing CSTP header line: 'X-DTLS-Master-Secret: F1810A764A0646376F7D254202A0
    A602CF075972F91EAD19BB6BE387BB8C6F893BFB49886D47F9A4BE2EA2A030BF620D'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
    Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3
    -SHA:DES-CBC-SHA'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Accept-Encoding: lzs'
    Processing CSTL header line: 'X-DTLS-Accept-Encoding: lzs'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Header-Pad-Length: 0'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Accept-Encoding: lzs,deflate'
    Processing CSTP header line: 'X-CSTP-Accept-Encoding: lzs,deflate'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Protocol: Copyright (c) 2004 Cisco Systems, Inc.'
    Processing CSTP header line: 'X-CSTP-Protocol: Copyright (c) 2004 Cisco Systems, Inc.'
    Validating address: 0.0.0.0
    CSTP state = WAIT_FOR_ADDRESS
    webvpn_cstp_accept_address: 192.168.10.1/255.255.255.0
    webvpn_cstp_accept_ipv6_address: No IPv6 Address
    CSTP state = HAVE_ADDRESS
    SVC: Sent gratuitous ARP for 192.168.10.1.
    SVC: NP setup
    np_svc_create_session(0x5000, 0xa930a180, TRUE)
    webvpn_svc_np_setup
    SVC ACL Name: NULL
    SVC ACL ID: -1
    vpn_put_uauth success for ip 192.168.10.1!
    No SVC ACL
    Iphdr=20 base-mtu=1300 def-mtu=1500 conf-mtu=1406
    tcp-mss = 1260
    path-mtu = 1260(mss)
    mtu = 1260(path-mtu) - 0(opts) - 5(ssl) - 8(cstp) = 1247
    tls-mtu = 1247(mtu) - 20(mac) = 1227
    DTLS Block size = 16
    mtu = 1300(base-mtu) - 20(ip) - 8(udp) - 13(dtlshdr) - 16(dtlsiv) = 1243
    mod-mtu = 1243(mtu) & 0xfff0(complement) = 1232
    dtls-mtu = 1232(mod-mtu) - 1(cdtp) - 20(mac) - 1(pad) = 1210
    computed tls-mtu=1227 dtls-mtu=1210 conf-mtu=1406
    DTLS enabled for intf=2 (outside)
    tls-mtu=1227 dtls-mtu=1210
    SVC: adding to sessmgmt

    Unable to initiate NAC, NAC might not be enabled or invalid policy
    CSTP state = CONNECTED
    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got internal message
    Unable to initiate NAC, NAC might not be enabled or invalid policy
  • No ASDM, selecione Monitoring > Logging > Real-time Log Viewer > View para ver os eventos em tempo real. Este exemplo mostra a informação de sessão entre o AnyConnect 192.168.10.1 e servidor Telnet 10.2.2.2 no Internet através de ASA 172.16.1.1.

Informações Relacionadas



Document ID: 100918