Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Client vpn et accès client d'AnyConnect à l'exemple local de configuration LAN

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment permettre au Client VPN Cisco ou au Client à mobilité sécurisé Cisco AnyConnect pour accéder à seulement leur réseau local tandis que percé un tunnel dans la gamme 5500 d'une appliance de sécurité adaptable Cisco (ASA) ou la gamme 5500-X ASA. Cette configuration permet des Clients VPN Cisco ou l'accès sécurisé de Client à mobilité sécurisé Cisco AnyConnect aux ressources de l'entreprise par l'intermédiaire d'IPsec, de Secure Sockets Layer (SSL), ou de version 2 (IKEv2) d'échange de clés Internet (IKE) et donne toujours au client la capacité d'effectuer des activités telles que l'impression où le client se trouve. Si c'est autorisé, le trafic destiné à l'Internet est encore tunnelisé vers l'ASA.

Remarque: Ce n'est pas une configuration pour la Transmission tunnel partagée, où le client de routage a l'accès à Internet décrypté tandis qu'il est connecté à l'ASA ou au PIX. Référez-vous à PIX/ASA 7.x : Permettez la Segmentation de tunnel pour des clients vpn sur l'exemple de configuration ASA pour les informations sur la façon dont configurer la Segmentation de tunnel sur l'ASA.

Contribué par Gustavo la Médina et Atri Basu, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Ce document suppose qu'une configuration VPN fonctionnelle d'Accès à distance existe déjà sur l'ASA.

Référez-vous à PIX/ASA 7.x en tant que serveur VPN distant utilisant l'exemple de configuration ASDM pour le Client VPN Cisco si on n'est pas déjà configuré.

Référez-vous à l'accès VPN ASA 8.x avec l'exemple de configuration de client de VPN SSL d'AnyConnect pour le Client à mobilité sécurisé Cisco AnyConnect si on n'est pas déjà configuré.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 9(2)1 de gamme de Cisco ASA 5500
  • Version 7.1(6) du Cisco Adaptive Security Device Manager (ASDM)
  • Version 5.0.07.0440 de Client VPN Cisco
  • Version 3.1.05152 de Client à mobilité sécurisé Cisco AnyConnect

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Diagramme du réseau

Le client se trouve sur un réseau typique du Small Office/Home Office (SOHO) et se connecte à travers l'Internet au bureau central.

Informations générales

À la différence d'un scénario classique de Segmentation de tunnel dans lequel tout le trafic Internet est envoyé à décrypté, quand vous activez l'accès local au LAN pour des clients vpn, il permet à ces clients pour communiquer décrypté avec seulement des périphériques sur le réseau sur lequel ils se trouvent. Par exemple, un client qui est permis l'accès local au LAN tandis que connecté à l'ASA de la maison peut imprimer à sa propre imprimante mais pour ne pas accéder à l'Internet sans envoyer d'abord le trafic au-dessus du tunnel.

Une liste d'accès est utilisée afin de permettre l'accès de réseau local LAN plus ou moins de la même façon que la Transmission tunnel partagée est configurée sur l'ASA. Cependant, au lieu de définir les réseaux qui devraient être cryptés, la liste d'accès définit dans ce cas les réseaux qui ne devraient pas être cryptés. En outre, à la différence du scénario de Transmission tunnel partagée, les réseaux réels dans la liste n'ont pas besoin d'être connus. Au lieu de cela, l'ASA fournit un réseau par défaut de 0.0.0.0/255.255.255.255, on comprend que qui signifie le réseau local du client.

Remarque: Quand le client est connecté et configuré pour l'accès local au LAN, vous ne pouvez pas imprimer ou parcourir de nom sur le réseau local. Cependant, vous pouvez naviguer ou imprimer par adresse IP. Voyez la section de dépannage de ces pour en savoir plus aussi bien que contournements de document pour cette situation.

Configurez l'accès local au LAN pour les clients vpn ou le client sécurisé de mobilité d'AnyConnect

Terminez-vous ces tâches afin de permettre l'accès de Clients VPN Cisco ou de Clients à mobilité sécurisés Cisco AnyConnects à leur réseau local tandis que connecté à l'ASA :

Configurez l'ASA par l'intermédiaire de l'ASDM

Terminez-vous ces étapes dans l'ASDM afin de permettre à des clients vpn pour avoir l'accès local au LAN tandis que connecté à l'ASA :

  1. Choisissez la configuration > l'Accès à distance VPN > réseau (client) Access > stratégie de groupe et sélectionnez la stratégie de groupe dans laquelle vous souhaitez activer l'accès local au LAN. Cliquez alors sur Edit.



  2. Allez à avancé > Segmentation de tunnel.



  3. Décochez la case d'héritage pour la stratégie et choisissez excluent la liste des réseaux ci-dessous.



  4. Décochez la case d'héritage pour la liste des réseaux et puis cliquez sur parviennent afin de lancer le gestionnaire de liste de contrôle d'accès (ACL).



  5. Chez le gestionnaire d'ACL, choisissez ajoutent > ajoutent l'ACL… afin de créer une nouvelle liste d'accès.



  6. Fournissez un nom pour l'ACL et cliquez sur OK.



  7. Une fois que l'ACL est créé, choisissez Add > Add ACE... afin d'ajouter une Entrée de contrôle d'accès (ACE).



  8. Définissez l'ACE qui correspond au réseau local LAN du client de routage.

    1. Choisissez Permit.
    2. Choisissez une adresse IP 0.0.0.0
    3. Choisissez un netmask de /32.
    4. ((Facultatif) Fournissez une description.
    5. Cliquez sur OK.



  9. Cliquez sur OK afin de quitter l'ACL Manager.



  10. Soyez sûr que l'ACL que vous avez juste créé est sélectionné pour le Split Tunnel Network List.



  11. Cliquez sur OK afin de retourner à la configuration de la stratégie de groupe.



  12. Cliquez sur Apply puis sur Send (s'il y a lieu) afin d'envoyer les commandes à l'ASA.

Configurez l'ASA par l'intermédiaire du CLI

Au lieu d'utiliser l'ASDM, vous pouvez exécuter ces étapes dans l'ASA CLI afin de permettre à des clients VPN d'avoir un accès au réseau local LAN tandis qu'ils sont connectés à l'ASA:

  1. Passez en mode de configuration.

    ciscoasa>enable
    Password:
    ciscoasa#configure terminal
    ciscoasa(config)#


  2. Créez la liste d'accès afin de permettre l'accès local au LAN.

    ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
    ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0


  3. Écrivez le mode de configuration de stratégie de groupe pour la stratégie que vous souhaitez modifier.

    ciscoasa(config)#group-policy hillvalleyvpn attributes
    ciscoasa(config-group-policy)#


  4. Spécifiez la stratégie de transmission tunnel partagée. Dans ce cas, la stratégie excludespecified.

    ciscoasa(config-group-policy)#split-tunnel-policy excludespecified


  5. Spécifiez la liste d'accès de transmission tunnel partagée. Dans ce cas, la liste est Local_LAN_Access.

    ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access


  6. Émettez la commande suivante :

    ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes


  7. Associez la stratégie de groupe au groupe de tunnels

    ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn


  8. Quittez les deux modes de configuration.

    ciscoasa(config-group-policy)#exit
    ciscoasa(config)#exit
    ciscoasa#


  9. Sauvegardez la configuration dans une mémoire vive non volatile (NVRAM) et appuyez Enter lorsqu'on vous invite à spécifier le nom de fichier source.

    ciscoasa#copy running-config startup-config

    Source filename [running-config]?
    Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a

    3847 bytes copied in 3.470 secs (1282 bytes/sec)
    ciscoasa#

Configurez le Client VPN Cisco

Exécutez ces étapes dans le client VPN afin de permettre au client de routage d'avoir accès au réseau local LAN tandis qu'il est connecté à l'ASA.

  1. Choisissez votre entrée en cours de connexion et le clic modifient.



  2. Allez à l'onglet Transport et cochez Allow Local LAN Access. Cliquez sur Enregistrer quand vous avez terminé.

Configurez le Client à mobilité sécurisé Cisco AnyConnect

Afin de configurer le Client à mobilité sécurisé Cisco AnyConnect, référez-vous à l'établissement la connexion de VPN SSL avec la section de SVC d'ASA 8.x : Exemple de configuration d'autorisation de la Transmission tunnel partagée pour un client VPN AnyConnect sur le dispositif ASA

Pour une Transmission tunnel non partagée, il faut que vous activiez AllowLocalLanAccess dans le client de routage d'AnyConnect. Toute Transmission tunnel non partagée est considérée comme un accès au réseau local LAN. Afin d'utiliser la fonctionnalité de l'exclusion de la transmission tunnel partagée, vous devez activer la préférence AllowLocalLanAccess dans les préférences de client VPN d'AnyConnect. Par défaut, l'accès de réseau local LAN est désactivé. 

Afin de permettre l'accès local au LAN, et donc fractionnement-exclure le Tunnellisation, un administrateur réseau peut l'activer dans le profil ou les utilisateurs peuvent l'activer dans leurs configurations de préférences (voyez l'image dans la section suivante). Afin de permettre l'accès au réseau local LAN, un utilisateur sélectionne la case à cocher Allow Local LAN access si la transmission tunnel partagée est activée sur la passerelle sécurisée et si elle est configurée avec la stratégie indiquée de transmission tunnel partagée exclue. En outre, vous pouvez configurer le profil de client vpn si on permet l'accès local au LAN avec des <LocalLanAccess UserControllable= >true</LocalLanAccess> " vrai ".

Préférences de l'utilisateur

Voici les sélections que vous devriez faire dans l'onglet de préférences sur le Client à mobilité sécurisé Cisco AnyConnect afin de permettre l'accès local au LAN.

Exemple de profil XML

Voici un exemple de la façon configurer le profil de client vpn avec le XML.

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic
</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
</AnyConnectProfile>

Vérifiez

Exécutez les étapes décrites dans ces parties afin de vérifier votre configuration.

Connectez au client vpn ou au client sécurisé de mobilité

Connectez votre client vpn à l'ASA afin de vérifier votre configuration.

  1. Choisissez votre entrée de connexion dans la liste et cliquez sur Connect.



  2. Choisissez le Status > Statistics… afin d'afficher la fenêtre de détails de tunnel où vous pouvez examiner les conditions particulières du tunnel et voir la circulation. Vous pouvez également vérifier que le réseau local LAN est activé dans la partie Transport.



  3. Cliquez sur l'onglet de détails d'artère afin de voir les artères auxquelles le client vpn a toujours l'accès local.

    Dans cet exemple, le client VPN a l'autorisation d'accès au réseau local LAN à 192.168.0.0/24 tandis que tout autre trafic de routage est crypté et envoyé à travers le tunnel.

Connectez votre Client à mobilité sécurisé Cisco AnyConnect à l'ASA afin de vérifier votre configuration.

  1. Choisissez votre entrée de connexion de la liste de serveur et le clic se connectent.



  2. Choisissez la fenêtre avancée pour tous les composants > statistiques… afin d'afficher le tunnel mode. 



  3. Cliquez sur l'onglet de détails d'artère afin de voir les artères auxquelles le Client à mobilité sécurisé Cisco AnyConnect a toujours l'accès local.

    Dans cet exemple, on permet au client l'accès local au LAN à 10.150.52.0/22 et à 169.254.0.0/16 tandis que tout autre trafic est chiffré et envoyé à travers le tunnel.

Visualisez le log de client vpn ou DARDEZ pour le client sécurisé de mobilité

Quand vous examinez le journal client VPN, vous pouvez déterminer si le paramètre qui permet l'accès au réseau local LAN est défini. Afin de visualiser le log, cliquez sur l'onglet de log dans le client vpn. Cliquez sur alors les configurations de log afin d'ajuster ce qui est enregistré. Dans cet exemple, IKE est défini sur 3 - High tandis que tous les autres éléments du journal sont définis sur 1 - Low.

Cisco Systems VPN Client Version 5.0.07.0440
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 6.1.7601 Service Pack 2

1 14:20:09.532 07/27/06 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.


!--- Output is supressed


18 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005D
Client sending a firewall request to concentrator

19 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client,
Capability= (Centralized Protection Policy).

20 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent,
Capability= (Are you There?).

21 14:20:14.208 07/03/14 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23 14:20:14.208 07/03/14 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems,
Inc ASA5510 Version 9.2(1) built by root on Wed 2-Jun-14 14:45

!--- Local LAN access is permitted and the local LAN is defined.

29 14:20:14.238 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets),
value = 0x00000001

30 14:20:14.238 07/03/14 Sev=Info/5 IKE/0x6300000F
LOCAL_NET #1
subnet = 192.168.0.0
mask = 255.255.255.0
protocol = 0
src port = 0
dest port=0

!--- Output is supressed.

Client à mobilité sécurisé Cisco AnyConnect

Quand vous examinez les logs d'AnyConnect des diagnostics et l'outil de génération de rapports (DART) empaquettent, vous pouvez déterminer si le paramètre qui permet l'accès local au LAN est placé.

******************************************

Date : 11/25/2011
Time : 13:01:48
Type : Information
Source : acvpndownloader

Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP:
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains:
TrustedDNSServers:
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true



******************************************

Tester l'accès local au LAN avec un ping

Une manière supplémentaire de tester que le client vpn a toujours l'accès local au LAN tandis que percé un tunnel au headend VPN est d'utiliser la commande ping à la ligne de commande de Microsoft Windows. Voici un exemple où le réseau local du client est 192.168.0.0/24 et un autre hôte est présent sur le réseau avec une adresse IP de 192.168.0.3.

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data&colon;

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Incapable d'imprimer ou de naviguer par nom

Quand le client VPN est connecté et configuré pour l'accès de réseau local LAN, vous ne pouvez pas imprimer ni naviguer par nom sur le réseau local LAN. Il existe deux options possibles pour contourner cette situation:

  • la navigation ou l'impression adresse IP.

    • Afin de parcourir, au lieu du \ de syntaxe \ sharename, utilisez \ de syntaxe \ x.x.x.x où x.x.x.x est l'adresse IP de l'ordinateur hôte.

    • Afin d'imprimer, changez les propriétés pour l'imprimante en réseau afin d'utiliser une adresse IP au lieu d'un nom. Par exemple, au lieu du la syntaxe \\sharename\printername, utilisez \\x.x.x.x\printername, où x.x.x.x est une adresse IP.


  • Créez ou modifiez le fichier LMHOSTS de client VPN. Un fichier lmhosts sur un PC de Microsoft Windows te permet pour créer les mappages statiques entre les adresses Internet et les adresses IP. Par exemple, un fichier LMHOSTS pourrait ressembler à ceci:

    192.168.0.3 SERVER1192.168.0.4 SERVER2192.168.0.5 SERVER3


    En Edition Professionnelle de Microsoft Windows XP, le fichier lmhosts se trouve dans %SystemRoot%\System32\Drivers\Etc. Référez-vous à votre documentation Microsoft ou à pour en savoir plus de l'article 314108 de base de connaissances de Microsoft.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 70847