Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Exemplo de Configuração de Clientes de VPN e do PIX/ASA 7.x para VPN de Internet Pública via Cabo

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Setembro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Diagrama de Rede
      Configurações
      Hairpinning ou Inversão de Sentido
Verificação
      Verificação do Cliente de VPN
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como configurar um PIX Firewall 7.0.1 ou posterior para executar o IPsec em um cabo. Esta configuração se aplica a um caso específico em que o PIX não permite túneis divididos e os usuários se conectam diretamente ao PIX antes de poderem acessar a Internet.

Nota: No PIX versão 7.2 e posterior, a palavra-chave intra-interface permite que todo tráfego entre e saia da mesma interface, e não apenas o tráfego de IPsec.

Consulte Exemplo de Roteador e Cliente de VPN para Internet Pública via Cabo para concluir uma configuração semelhante no roteador central de um site.

Consulte Exemplo de Configuração de VPN Aprimorada de Raio para Cliente PIX/ASA 7.x com Autenticação TACACS+ para obter mais informações sobre o cenário em que o PIX redireciona o tráfego do cliente de VPN para o PIX do raio.

Nota: Para evitar a sobreposição de endereços IP na rede, atribua um pool de endereços IP completamente diferente ao cliente de VPN (por exemplo, 10.x.x.x , 172.16.x.x e 192.168.x.x). Este esquema de endereçamento IP é útil para fazer o troubleshooting de problemas na rede.

Pré-requisitos

Requisitos

Verifique se você atende a estes requisitos antes de tentar esta configuração:

  • A versão do PIX Security Appliance do hub deve ser a 7.0.1 ou posterior.

  • Cisco VPN Client versão 4.x

Componentes Utilizados

As informações neste documento baseiam-se no PIX ou ASA Security Appliance versão 7.0.1.

As informações no documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

pix7x-asa-client-stick-1.gif

Configurações

Este documento utiliza as seguintes configurações:

PIX/ASA

PIX Version 7.0(1)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname W2N-5.6-PIX515-A
ftp mode passive

!--- O comando que permite que o tráfego IPsec entre e saia pela mesma interface.

same-security-traffic permit intra-interface
access-list 100 extended permit icmp any any echo-reply
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500

!--- O pool de endereços para os Clientes VPN.

ip local pool vpnpool 192.168.10.1-192.168.10.254

no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control


!--- O endereço global para acesso à Internet usado por VPN Clients.
!--- Nota: Usa um intervalo RFC 1918 para instalação em laboratório.
!--- Aplique um endereço de seu intervalo público fornecido pelo seu ISP.


global (outside) 1 172.18.124.166


!--- A instrução NAT para definir o que criptografar (os endereços do pool de vpns).


nat (outside) 1 192.168.10.0 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 10.10.10.2 10.10.10.2 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- A configuração de política de grupo para VPN Clients.


group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20


!--- Força VPN Clients pelo túnel para acesso à Internet.


split-tunnel-policy tunnelall


no snmp-server location
no snmp-server contact
snmp-server enable traps snmp


!--- Configuração da Fase 2 do IPsec.


crypto ipsec transform-set myset esp-3des esp-sha-hmac


!--- Configuração do mapa de criptografia para os VPN Clients que se conectam a este PIX.


crypto dynamic-map rtpdynmap 20 set transform-set myset


!--- Conecta o mapa dinâmico ao processo de mapa de criptografia.


crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


!--- Mapa de criptografia aplicado à interface externa.


crypto map mymap interface outside


!--- Ative ISAKMP na interface externa.


isakmp identity address
isakmp enable outside


!--- Configuração da política ISAKMP.


isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Configuração de tunnel-group com as informações do grupo para os VPN Clients.


tunnel-group rtptacvpn type ipsec-ra


!--- Configuração dos parâmetros de grupo para os VPN Clients.


tunnel-group rtptacvpn general-attributes
address-pool vpnpool


!--- Desativação da autenticação de usuários.


authentication-server-group none
authorization-server-group LOCAL


!--- Ligação dos parâmetros de group-policy ao tunnel-group para os VPN Clients.


default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
 inspect dns maximum-length 512
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect netbios
 inspect rsh
 inspect rtsp
 inspect skinny
 inspect esmtp
 inspect sqlnet
 inspect sunrpc
 inspect tftp
 inspect sip
 inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0
: end

Nota 1: O comando sysopt connection permit-ipsec precisa ser configurado. O comando show running-config sysopt verifica se a configuração foi feita.

Nota 2: Adicione esta saída para o transporte UDP opcional:

group-policy clientgroup attributes
vpn-idle-timeout 20
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel

Nota 3: Configure este comando na configuração global da ferramenta PIX para que os clientes de VPN se conectem via IPsec sobre TCP:

isakmp ipsec-over-tcp port 10000

Cliente de VPN

Conclua estas etapas para configurar o cliente de VPN:

  1. Escolha Connection Entries > New.

    pix7x-asa-client-stick-2.gif

  2. Insira as informações de PIX e de grupo.

    pix7x-asa-client-stick-3.gif

  3. (Opcional) Clique em Enable Transparent Tunneling na guia Transport. (Esse procedimento é opcional e necessita da configuração adicional do PIX/ASA mencionada na Nota 2.)

    pix7x-asa-client-stick-4.gif

  4. Salve o perfil.

Hairpinning ou Inversão de Sentido

Este recurso é útil para o tráfego de VPN que entra em uma interface e é reenviado pela mesma interface. Se você possuir uma rede VPN com hub e raios, onde o Security Appliance é o hub e as redes VPN remotas são os raios, para que um raio se comunique com outro, o tráfego deverá ser enviado primeiro para o Security Applicance e, em seguida reenviado para o outro raio.

Use o comando same-security-traffic para permitir que o tráfego entre e saia da mesma interface.

securityappliance(config)#same-security-traffic permit intra-interface

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

A Output Interpreter Tool (somente para clientes registrados ) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise do comando show.

  • show crypto isakmp sa — Exibe todas as associações de segurança atuais do IKE em um peer.

  • show crypto ipsec sa — Exibe todas as associações de segurança atuais. Procure pacotes de criptografia e descriptografia na associação de segurança que defina o tráfego do cliente de VPN.

Tente fazer ping ou navegar para um endereço IP público a partir do cliente (por exemplo, www.cisco.com).

Nota: A interface interna do PIX não poderá responder a pings para a formação de um túnel a menos que o comando management-access seja configurado no modo de configuração global.

PIX1(config)#management-access inside
PIX1(config)#show management-access
management-access inside

Verificação do Cliente de VPN

Execute estas etapas para verificar o cliente de VPN.

  1. Clique com o botão direito do mouse no ícone de cadeado do cliente de VPN presente na bandeja do sistema após uma conexão bem-sucedida e escolha a opção de estatísticas para exibir as operações de criptografia e descriptografia.

  2. Clique na guia Route Details para verificar a lista de túneis não divididos passada pelo Security Appliance.

Troubleshooting

No momento não há informações de troubleshooting disponíveis para esta configuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 67986