Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA 7.x: Exemplo de Configuração de Permissão de Acesso à LAN Local para VPN Clients

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (25 Fevereiro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Diagrama de Rede
      Produtos Relacionados
      Convenções
Informações de Apoio
Configuração do Acesso à LAN Local para VPN Clients
      Configuração do ASA com o ASDM
      Configuração do ASA com a CLI
      Configuração do VPN Client
Verificação
      Conexão com o VPN Client
      Exibição do Log do VPN Client
      Teste do Acesso à LAN Local com Ping
Troubleshooting
      Não É Possível Imprimir ou Pesquisar por Nomes
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento fornece instruções passo a passo sobre como permitir que os Cisco VPN Clients acessem somente suas LAN locais quando conectados via túnel a um Cisco ASA 5500 Series Security Appliance ou um PIX 500 Series Security Appliance. Essa configuração permite que os VPN Clients tenham acesso seguro a recursos corporativos via IPsec e ainda fornece a eles a capacidade de executar tarefas como imprimir de onde quer que estejam localizados. Se for permitido, o tráfego destinado à Internet é ainda enviado pelo túnel ao ASA ou ao PIX.

Nota: Esta não é uma configuração de tunelamento dividido, onde o cliente tem acesso não criptografado à Internet enquanto está conectado ao ASA ou ao PIX. Consulte PIX/ASA 7.x: Exemplo de Configuração de Permissão de Tunelamento Dividido para VPN Clients no ASA para obter informações sobre como configurar o tunelamento dividido no ASA ou no PIX.

Pré-requisitos

Requisitos

Este documento pressupõe que uma configuração de VPN de acesso remoto já exista no ASA ou no PIX. Consulte Exemplo de Configuração do PIX/ASA 7.x como um Servidor Remoto de VPN Usando o ASDM se uma configuração não estiver disponível.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco ASA 5500 Series Security Appliance versão 7.2

  • Cisco VPN Client versão 4.0.5

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Diagrama de Rede

O VPN Client está localizado em uma rede SOHO típica e se conecta via Internet com o escritório principal.

local-lan-pix-asa-20.gif

Produtos Relacionados

Esta configuração também pode ser usada com o Cisco PIX 500 Series Security Appliance versão 7.x.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Ao contrário de um cenário clássico de tunelamento dividido onde todo o tráfego da Internet é enviado não criptografado, quando você habilita o acesso à LAN local para os VPN Clients, ele permite que esses clientes se comuniquem de forma não criptografada somente com dispositivos na rede onde eles estão localizados. Por exemplo, um VPN Client que tenha permissão de acesso à LAN local enquanto está conectado ao ASA a partir de um escritório doméstico é capaz de imprimir em sua própria impressora, mas não consegue acessar a Internet sem antes enviar o tráfego por um túnel.

Uma lista de acesso é utilizada para permitir o acesso à LAN local da mesma maneira que o tunelamento dividido é configurado no ASA. Entretanto, em vez de definir quais redes devem ser criptografadas, a lista de acesso define quais redes não devem ser criptografadas. Além disso, ao contrário do cenário de tunelamento dividido, as redes reais na lista não precisam ser conhecidas. O ASA, em vez disso, fornece uma rede padrão 0.0.0.0/255.255.255.255 que é interpretada como sendo a LAN local do VPN Client.

Nota: Quando o VPN Client estiver conectado e configurado para o acesso à LAN local, você não poderá imprimir ou pesquisar por nomes na LAN local. Entretanto, você poderá pesquisar ou imprimir por endereço IP. Consulte a seção de Troubleshooting deste documento para obter mais informações e soluções alternativas para essa situação.

Configuração do Acesso à LAN Local para VPN Clients

Execute estas duas tarefas para permitir o acesso de VPN Clients às suas LANs locais enquanto estiverem conectados ao VPN Concentrator:

Configuração do ASA com o ASDM

Execute estes passos no ASDM para permitir que os VPN Clients tenham acesso à LAN local enquanto estão conectados ao ASA:

  1. Selecione Configuration > VPN > General > Group Policy e selecione a política de grupo com a qual deseja habilitar o acesso à LAN local. Em seguida, clique em Edit.

    local-lan-pix-asa-1.gif

  2. Selecione a guia Client Configuration.

    local-lan-pix-asa-2.gif

  3. Desmarque a caixa Inherit em Split Tunnel Policy e selecione Exclude Network List Below.

    local-lan-pix-asa-3.gif

  4. Desmarque a caixa Inherit em Split Tunnel Network List e clique em Manage para iniciar o ACL Manager.

    local-lan-pix-asa-4.gif

  5. No ACL Manager, selecione Add > Add ACL... para criar uma nova lista de acesso.

    local-lan-pix-asa-5.gif

  6. Forneça um nome para a ACL e clique em OK.

    local-lan-pix-asa-6.gif

  7. Após a criação da ACL, selecione Add > Add ACE... para adicionar uma entrada de controle de acesso (ACE).

    local-lan-pix-asa-7.gif

  8. Defina a ACE que corresponde à LAN local do cliente.

    1. Selecione Permit.

    2. Escolha o endereço IP 0.0.0.0

    3. Escolha a máscara de rede 255.255.255.255.

    4. (Opcional) Forneça uma descrição.

    5. Clique em OK.

      local-lan-pix-asa-8.gif

  9. Clique em OK para sair do ACL Manager.

    local-lan-pix-asa-9.gif

  10. Certifique-se de que a ACL que você acabou de criar esteja selecionada na Split Tunnel Network List.

    local-lan-pix-asa-10.gif

  11. Clique em OK para retornar à configuração da política de grupo.

    local-lan-pix-asa-11.gif

  12. Clique em Apply e em Send (se necessário) para enviar os comandos para o ASA.

    local-lan-pix-asa-12.gif

Configuração do ASA com a CLI

Em vez de usar o ASDM, você pode executar estes passos na CLI do ASA para permitir que os VPN Clients tenham acesso à LAN local enquanto estão conectados ao ASA:

  1. Entre no modo de configuração.

    ciscoasa>enable
    Password:
    ciscoasa#configure terminal
    ciscoasa(config)#
  2. Crie a lista de acesso para permitir o acesso à LAN local.

    ciscoasa(config)#access-list Local_LAN_Access remark VPN Client Local LAN Access
    ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
    
  3. Entre no modo de configuração de política de grupo para a política que deseja modificar.

    ciscoasa(config)#group-policy hillvalleyvpn attributes
    ciscoasa(config-group-policy)#
  4. Especifique a política de tunelamento dividido. Neste caso, a política é excludespecified.

    ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
    
  5. Especifique a lista de acesso de tunelamento dividido. Neste caso, a lista é Local_LAN_Access.

    ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
    
  6. Execute este comando:

    ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
    
  7. Associe a política de grupo ao grupo de túnel

    ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
    
  8. Saia dos dois modos de configuração.

    ciscoasa(config-group-policy)#exit
    ciscoasa(config)#exit
    ciscoasa#
  9. Salve a configuração na RAM não volátil (NVRAM) e pressione Enter quando avisado para especificar o nome do arquivo de origem.

    ciscoasa#copy running-config startup-config
    
    Source filename [running-config]?
    Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
    
    3847 bytes copied in 3.470 secs (1282 bytes/sec)
    ciscoasa#

Configuração do VPN Client

Execute estes passos no VPN Client para permitir que os clientes tenham acesso à LAN local enquanto estão conectados ao ASA.

  1. Selecione sua entrada de conexão já existente e clique em Modify.

    local-lan-pix-asa-13.gif

  2. Vá para a guia Transport e marque Allow Local LAN Access. Clique em Save quando estiver pronto.

    local-lan-pix-asa-14.gif

Verificação

Siga os passos nestas seções para verificar a sua configuração.

Conexão com o VPN Client

Conecte seu VPN Client ao VPN Concentrator para verificar sua configuração.

  1. Selecione sua entrada de conexão da lista e clique em Connect.

    local-lan-pix-asa-15.gif

  2. Insira suas credenciais.

    local-lan-pix-asa-16.gif

  3. Selecione Status > Statistics... para exibir a janela Tunnel Details onde você pode inspecionar os detalhes específicos do túnel e observar o fluxo de tráfego. Também é possível ver se a LAN local está habilitada na seção Transport.

    local-lan-pix-asa-17.gif

  4. Vá para a guia Route Details para ver as rotas às quais o VPN Client ainda possui acesso local.

    Neste exemplo, o VPN Client tem permissão para acessar a LAN local em 192.168.0.0/24, enquanto os demais tipos de tráfego são criptografados e enviados pelo túnel.

    local-lan-pix-asa-18.gif

Exibição do Log do VPN Client

Ao examinar o log do VPN Client, você pode determinar se o parâmetro que permite o acesso à LAN local está ou não definido. Para exibir o log, vá para a guia Log do VPN Client. Em seguida, clique em Log Settings para ajustar o que é registrado. Neste exemplo, o IKE é definido como 3 - High, enquanto que todos os demais elementos são definidos como 1 - Low.

local-lan-pix-asa-19.gif

Cisco Systems VPN Client Version 4.0.5 (Rel)
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2

1      14:20:09.532  07/27/06  Sev=Info/6	IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.


!--- Saída suprimida.


18     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005D
Client sending a firewall request to concentrator

19     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client,
Capability= (Centralized Protection Policy).

20     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent,
Capability= (Are you There?).

21     14:20:14.208  07/27/06  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23     14:20:14.208  07/27/06  Sev=Info/4	IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems,
Inc ASA5510 Version 7.2(1) built by root on Wed 31-May-06 14:45

!--- O acesso à LAN local é permitido e a LAN local é definida.

29     14:20:14.238  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets),
value = 0x00000001

30     14:20:14.238  07/27/06  Sev=Info/5	IKE/0x6300000F
LOCAL_NET #1
	subnet = 192.168.0.0
	mask = 255.255.255.0
	protocol = 0
	src port = 0
	dest port=0

!--- Saída suprimida.

Teste do Acesso à LAN Local com Ping

Uma maneira adicional de testar se o VPN Client ainda possui acesso à LAN local enquanto estão conectado pelo túnel ao VPN Concentrator é usar o comando ping na linha de comando do Windows. A LAN local do VPN Client é 192.168.0.0/24 e outro host está presente na rede com o endereço IP 192.168.0.3.

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Troubleshooting

Não É Possível Imprimir ou Pesquisar por Nomes

Quando o VPN Client estiver conectado e configurado para acesso à LAN local, você não poderá imprimir ou pesquisar por nomes na LAN local. Há duas opções disponíveis para contornar essa situação:

  • Pesquise ou imprima por endereço IP.

    • Para pesquisar, em vez de utilizar a sintaxe \\nome_do_compartilhamento, use a sintaxe \\x.x.x.x, onde x.x.x.x é o endereço IP do computador host.

    • Para imprimir, altere as propriedades da impressora de rede para utilizar um endereço IP em vez de um nome. Por exemplo, em vez de utilizar a sintaxe \\nome_do_compartilhamento\nome_da_impressora, use \\x.x.x.x\nome_da_impressora, onde x.x.x.x é um endereço IP.

  • Crie ou modifique o arquivo LMHOSTS do VPN Client. Um arquivo LMHOSTS em um PC com Windows permite que você crie mapeamentos estáticos entre nomes de hosts e endereços IP. Por exemplo, um arquivo LMHOSTS se parece com isto:

    192.168.0.3 SERVER1
    192.168.0.4 SERVER2
    192.168.0.5 SERVER3

    No Windows XP Professional Edition, o arquivo LMHOSTS está localizado em %SystemRoot%\System32\Drivers\Etc. Consulte sua documentação da Microsoft ou o artigo do Microsoft KB 314108 leavingcisco.com para obter mais informações.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 70847