Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA 9.x : Exemples de U-rotation de configuration d'AnyConnect VPN Client

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment installer une version de l'appliance de sécurité adaptable (ASA) 9.1(2) afin d'exécuter Secure Sockets Layer (SSL) VPN sur un bâton avec le Cisco AnyConnect VPN Client. Cette installation applique à un cas spécifique où l'ASA ne permet pas la Segmentation de tunnel et les utilisateurs se connectent directement à l'ASA avant qu'ils soient permis pour aller à l'Internet.

Remarque:  Afin d'éviter une superposition des adresses IP dans le réseau, affectez un groupe complètement différent d'adresses IP au client vpn (par exemple, 10.x.x.x, 172.16.x.x, et 192.168.x.x). Ce schéma d'adressage IP est utile afin de dépanner votre réseau.

Hairpinning ou demi-tour

Cette caractéristique est utile pour le trafic VPN qui écrit une interface, mais est puis conduite hors de cette même interface. Par exemple, si vous avez un réseau VPN d'en étoile où les dispositifs de sécurité sont le hub et les réseaux VPN distants sont des rais, afin d'un a parlé pour communiquer avec un autre trafic de rai doit aller aux dispositifs de sécurité et alors de nouveau à l'autre a parlé.

Sélectionnez la commande du même-Sécurité-trafic afin de permettre au trafic pour écrire et quitter la même interface.

ciscoasa(config)#same-security-traffic permit intra-interface

Contribué par Yamil Gazel et Gustavo la Médina, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco recommande que vous répondiez à ces exigences avant que vous tentiez cette configuration :

  • Les dispositifs de sécurité du hub ASA doivent exécuter la release 9.x.

  • Cisco AnyConnect VPN Client 3.x

    Remarque: Téléchargez le paquet du client VPN d'AnyConnect (anyconnect-win*.pkg) depuis la page Téléchargement de logiciel Cisco (clients enregistrés seulement). Copiez le client VPN d'AnyConnect dans la mémoire flash de l'ASA qui doit être téléchargée sur les ordinateurs des utilisateurs distants afin d'établir la connexion VPN SSL avec l'ASA. Référez-vous à la section Installer le client d'AnyConnect du guide de configuration d'ASA pour plus d'informations.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Gamme Cisco 5500 ASA qui exécute la version de logiciel 9.1(2)

  • Version du client de VPN SSL de Cisco AnyConnect pour Windows 3.1.05152

  • PC qui exécute un SYSTÈME D'EXPLOITATION pris en charge par tableau de compatibilité.

  • Version 7.1(6) du Cisco Adaptive Security Device Manager (ASDM)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Le Cisco AnyConnect VPN Client fournit les connexions sécurisées SSL au dispositif de sécurité pour des utilisateurs distants. Sans client installé précédemment, les utilisateurs distants saisissent dans leur navigateur l'adresse IP d'une interface configurée pour accepter les connexions VPN SSL. À moins que le dispositif de sécurité soit configuré pour rediriger des demandes de http:// à https://, les utilisateurs doivent saisir l'URL sous la forme https://<adresse>.

Après que l'URL soit écrit, le navigateur se connecte à cette interface et affiche l'écran de connexion. Si la connexion et l'authentification de l'utilisateur sont acceptées, et que l'appliance de sécurité identifie que l'utilisateur demande le client, il télécharge le client correspondant au système d'exploitation de l'ordinateur distant. Après que le téléchargement, le client installe et se configure, établit une connexion sécurisée SSL et reste ou se désinstalle (ceci dépend de la configuration de dispositifs de sécurité) quand la connexion se termine.

Avec un client installé précédemment, quand l'utilisateur s'authentifie, le dispositif de sécurité examine la révision du client et met à niveau le client selon les besoins.

Quand le client est en pourparlers une connexion de VPN SSL avec les dispositifs de sécurité, ils se connectent au Transport Layer Security (TLS), et utilisent également le Transport Layer Security de datagramme (DTLS). DTLS évite des problèmes de latence et de bande passante associés avec quelques connexions SSL et améliore la représentation des applications en temps réel qui sont sensibles aux retards de paquet.

Le client d'AnyConnect peut être téléchargé depuis le dispositif de sécurité ou il peut être installé manuellement sur le PC distant par l'administrateur système. Pour plus d'informations sur la façon installer le client manuellement, référez-vous au guide de l'administrateur de Cisco AnyConnect VPN Client.

Les dispositifs de sécurité téléchargent le client basé sur les attributs de stratégie de groupe ou de nom d'utilisateur de l'utilisateur qui établit la connexion. Vous pouvez configurer le dispositif de sécurité pour qu'il télécharge automatiquement le client ou vous pouvez le configurer pour qu'il demande à l'utilisateur distant s'il souhaite télécharger le client. Dans le dernier cas, si l'utilisateur ne répond pas, vous pouvez configurer le dispositif de sécurité pour qu'il télécharge le client après un délai d'attente ou qu'il présente la page de connexion.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Exemple de configuration d'un client VPN AnyConnect pour un VPN Internet public sur un stick

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Configurations de la version ASA 9.1(2) avec la version ASDM 7.1(6)

Ce document suppose que la configuration de base, telle que la configuration d'interface, est déjà terminée et fonctionne correctement.

Remarque: Référez-vous à configurer HTTPS Access pour l'ASDM afin de permettre l'ASA à configurer par l'ASDM.

Remarque: Dans la version 8.0(2) et ultérieures, l'ASA prend en charge les deux sessions sans client de VPN SSL (webvpn) et sessions administratives ASDM simultanément sur le port 443 de l'interface extérieure. Dans les versions plus tôt que la version 8.0(2), le webvpn et l'ASDM ne peuvent pas être activés sur la même interface ASA à moins que vous changiez les numéros de port. Référez-vous à ASDM et WebVPN activés sur la même interface d'ASA pour plus d'informations.

Terminez-vous ces étapes afin de configurer le VPN SSL sur un bâton dans l'ASA :

  1. Choisissez la configuration > installation de périphérique > des interfaces et cochent le trafic d'enable entre deux hôtes ou plus connectés dans la même case d'interface afin de permettre au trafic de VPN SSL pour écrire et quitter la même interface. Cliquez sur Apply.

    Configuration CLI équivalente :

    ciscoasa(config)#same-security-traffic permit intra-interface
  2. Choisissez la configuration > l'Accès à distance VPN > réseau (client) Access > affectation d'adresses > pools d'adresses > ajoutent afin de créer un vpnpool de groupe d'adresse IP.

  3. Cliquez sur Apply.

    Configuration CLI équivalente :

    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0
  4. Activez WebVPN.
    1. Choisissez Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles et sous Access Interfaces, cliquez les cases à cocher Allow Access et Enable DTLS pour l'interface externe. En outre, cliquez la case à cocher Enable Cisco AnyConnect VPN Client ou legacy SSL VPN Client access on the interface selected in the table below afin d'activer le VPN SSL sur l'interface externe.

    2. Cliquez sur Apply.
    3. Choisissez la configuration > l'Accès à distance VPN > réseau (client) Access > logiciel client d'Anyconnect > ajoutent afin d'ajouter l'image de Cisco AnyConnect VPN Client de la mémoire flash de l'ASA comme affichée.

      Configuration CLI équivalente :

      ciscoasa(config)#webvpn
      ciscoasa(config-webvpn)#enable outside
      ciscoasa(config-webvpn)#anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1
      ciscoasa(config-webvpn)#tunnel-group-list enable
      ciscoasa(config-webvpn)#anyconnect enable
  5. Configurez la stratégie de groupe.
    1. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Group Policies afin de créer une stratégie de groupe interne clientgroup. Sous l'onglet General, sélectionnez la case à cocher SSL VPN Client afin d'activer le WebVPN comme protocole de tunnellisation.

    2. Dans l'avancé > l'onglet de Segmentation de tunnel, choisissent le tunnel tous les réseaux de la liste déroulante de stratégie de la stratégie afin de faire tous les paquets provenant l'ordinateur distant par un tunnel sécurisé.

      Configuration CLI équivalente :

      ciscoasa(config)#group-policy clientgroup internal
      ciscoasa(config)#group-policyclientgroup attributes
      ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client
      ciscoasa(config-group-policy)#split-tunnel-policy tunnelall
  6. Choisissez la configuration > l'Accès à distance VPN > utilisateurs > utilisateurs locaux AAA/Local > ajoutent afin de créer un nouveau compte utilisateur ssluser1. Cliquez sur OK, puis sur Apply.

    Configuration CLI équivalente :

    ciscoasa(config)#username ssluser1 password asdmASA@
  7. Configurez le groupe de tunnels.
    1. Choisissez la configuration > l'Accès à distance VPN > réseau (client) Access > des profils de connexion d'Anyconnect > ajoutent afin de créer un nouveau sslgroup de groupe de tunnel.
    2. Dans l'onglet Basic, vous pouvez exécuter la liste des configurations indiquée :
      • Donnez au groupe de tunnels le nom sslgroup.
      • Sous l'affectation d'adresse du client, choisissez le vpnpool de pool d'adresses de la liste déroulante de groupes d'adresse du client.
      • Dans le cadre de la stratégie de groupe par défaut, choisissez le clientgroup de stratégie de groupe de la liste déroulante de stratégie de groupe.

      • Sous l'avancé > le groupe onglet URL alias/groupe, spécifient le pseudonyme de groupe comme sslgroup_users et cliquent sur OK.

        Configuration CLI équivalente :

        ciscoasa(config)#tunnel-group sslgroup type remote-access
        ciscoasa(config)#tunnel-group sslgroup general-attributes
        ciscoasa(config-tunnel-general)#address-pool vpnpool
        ciscoasa(config-tunnel-general)#default-group-policy clientgroup
        ciscoasa(config-tunnel-general)#exit
        ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
        ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable
  8. Configurer NAT
    1. Choisissez la configuration > le Pare-feu > les règles NAT > ajoutent la règle NAT de « objet de réseau » ainsi le trafic qui provient le réseau intérieur peut être traduit avec l'adresse IP extérieure 172.16.1.1.

    2. Choisissez la configuration > le Pare-feu > les règles NAT > ajoutent la règle NAT de « objet de réseau » ainsi le trafic que le trafic VPN qui provient le réseau extérieur peut être traduit avec l'adresse IP extérieure 172.16.1.1.

      Configuration CLI équivalente :

      ciscoasa(config)# object network obj-inside
      ciscoasa(config-network-object)# subnet 10.77.241.128 255.255.255.192
      ciscoasa(config-network-object)# nat (inside,outside) dynamic interface
      ciscoasa(config)# object network obj-AnyconnectPool
      ciscoasa(config-network-object)# subnet 192.168.10.0 255.255.255.0
      ciscoasa(config-network-object)# nat (outside,outside) dynamic interface

L'ASA libèrent 9.1(2) la configuration dans le CLI

ciscoasa(config)#show running-config
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.77.241.142 255.255.255.192
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface

!--- Command that permits the SSL VPN traffic to enter and exit the same interface.

object network obj-AnyconnectPool
subnet 192.168.10.0 255.255.255.0
object network obj-inside
subnet 10.77.241.128 255.255.255.192

!--- Commands that define the network objects we will use later on the NAT section.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-inside obj-inside destination static
obj-AnyconnectPool obj-AnyconnectPool

!--- The Manual NAT that prevents the inside network from getting translated
when going to the Anyconnect Pool.

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface
object network obj-inside
nat (inside,outside) dynamic interface

!--- The Object NAT statements for Internet access used by inside users and
Anyconnect Clients.
!--- Note: Uses an RFC 1918 range for lab setup.

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
webvpn
enable outside


!--- Enable WebVPN on the outside interface


anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image


anyconnect enable


!--- Enable the security appliance to download SVC images to remote computers


tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
vpn-tunnel-protocol ssl-client


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
address-pool vpnpool


!--- Associate the address pool vpnpool created


default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Permettez la transmission entre les AnyConnects VPN Client avec la configuration de TunnelAll en place

Diagramme du réseau

Si la transmission entre les clients d'Anyconnect est exigée et le NAT pour l'Internet public sur un bâton est en place ; un NAT manuel est nécessaire également pour permettre la transmission bidirectionnelle.

C'est un scénario commun quand les clients d'Anyconnect utilisent des services de téléphonie et devraient pouvoir s'appeler.

Configurations de la version ASA 9.1(2) avec la version ASDM 7.1(6)

Choisissez la configuration > le Pare-feu > les règles NAT > ajoutent la règle NAT avant des règles NAT de « objet de réseau » ainsi le trafic que qui provient le réseau extérieur (groupe d'Anyconect) et il a destiné à un autre client d'Anyconnect du même groupe n'obtient pas traduit avec l'adresse IP extérieure 172.16.1.1.

Configuration CLI équivalente :

nat (outside,outside) source static obj-AnyconnectPool obj-AnyconnectPool destination
static obj-AnyconnectPool obj-AnyconnectPool

L'ASA libèrent 9.1(2) la configuration dans le CLI

ciscoasa(config)#show running-config
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.77.241.142 255.255.255.192
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface

!--- Command that permits the SSL VPN traffic to enter and exit the same interface.

object network obj-AnyconnectPool
subnet 192.168.10.0 255.255.255.0
object network obj-inside
subnet 10.77.241.128 255.255.255.192

!--- Commands that define the network objects we will use later on the NAT section.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-inside obj-inside destination static
obj-AnyconnectPool obj-AnyconnectPool
nat (outside,outside) source static obj-AnyconnectPool obj-AnyconnectPool
destination static obj-AnyconnectPool obj-AnyconnectPool

!--- The Manual NAT statements used so that traffic from the inside network
destined to the Anyconnect Pool and traffic from the Anyconnect Pool destined
to another Client within the same pool does not get translated.

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface
object network obj-inside
nat (inside,outside) dynamic interface

!--- The Object NAT statements for Internet access used by inside users and
Anyconnect Clients.
!--- Note: Uses an RFC 1918 range for lab setup.

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
webvpn
enable outside


!--- Enable WebVPN on the outside interface


anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image


anyconnect enable


!--- Enable the security appliance to download SVC images to remote computers


tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
vpn-tunnel-protocol ssl-client


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
address-pool vpnpool


!--- Associate the address pool vpnpool created


default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Permettez la transmission entre les AnyConnects VPN Client avec le tunnel partagé

Diagramme du réseau

Si la transmission entre les clients d'Anyconnect est exigée et le tunnel partagé est utilisé ; aucun NAT manuel n'est exigé afin de permettre la transmission bidirectionnelle à moins qu'il y ait une règle NAT qui affecte ce trafic configuré. Cependant le groupe d'Anyconnect VPN doit être inclus sur l'ACL de tunnel partagé.

C'est un scénario commun quand les clients d'Anyconnect utilisent des services de téléphonie et devraient pouvoir s'appeler.

Configurations de la version ASA 9.1(2) avec la version ASDM 7.1(6)

  1. Choisissez la configuration > l'Accès à distance VPN > réseau (client) Access > des pools d'adresses d'Assignment> d'adresse > ajoutent afin de créer un vpnpool de groupe d'adresse IP.

  2. Cliquez sur Apply.

    Configuration CLI équivalente :

    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0
  3. Activez WebVPN.
    1. Choisissez Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles et sous Access Interfaces, cliquez les cases à cocher Allow Access et Enable DTLS pour l'interface externe. En outre, cliquez la case à cocher Enable Cisco AnyConnect VPN Client ou legacy SSL VPN Client access on the interface selected in the table below afin d'activer le VPN SSL sur l'interface externe.

    2. Cliquez sur Apply.
    3. Choisissez la configuration > l'Accès à distance VPN > réseau (client) Access > logiciel client d'Anyconnect > ajoutent afin d'ajouter l'image de Cisco AnyConnect VPN Client de la mémoire flash de l'ASA comme affichée.

      Configuration CLI équivalente :

      ciscoasa(config)#webvpn
      ciscoasa(config-webvpn)#enable outside
      ciscoasa(config-webvpn)#anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1
      ciscoasa(config-webvpn)#tunnel-group-list enable
      ciscoasa(config-webvpn)#anyconnect enable
  4. Configurez la stratégie de groupe.
    1. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Group Policies afin de créer une stratégie de groupe interne clientgroup. Sous l'onglet General, sélectionnez la case à cocher SSL VPN Client afin d'activer le WebVPN comme protocole de tunnellisation.

    2. Dans l'avancé > l'onglet de Segmentation de tunnel, choisissent la liste des réseaux de tunnel ci-dessous de la liste déroulante de stratégie afin de faire tous les paquets provenant l'ordinateur distant par un tunnel sécurisé.

      Configuration CLI équivalente :

      ciscoasa(config)#access-list SPLIt-ACL standard permit 10.77.241.0 255.255.255.0
      ciscoasa(config)#access-list SPLIt-ACL standard permit 192.168.10.0 255.255.255.0

      ciscoasa(config)#group-policy clientgroup internal
      ciscoasa(config)#group-policy clientgroup attributes
      ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client
      ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
      ciscoasa(config-group-policy)#split-tunnel-network-list SPLIt-ACL
  5. Choisissez la configuration > l'Accès à distance VPN > utilisateurs > utilisateurs locaux AAA/Local > ajoutent afin de créer un nouveau compte utilisateur ssluser1. Cliquez sur OK, puis sur Apply.

    Configuration CLI équivalente :

    ciscoasa(config)#username ssluser1 password asdmASA@
  6. Configurez le groupe de tunnels.
    1. Choisissez la configuration > l'Accès à distance VPN > réseau (client) Access > des profils de connexion d'Anyconnect > ajoutent afin de créer un nouveau sslgroup de groupe de tunnel.
    2. Dans l'onglet Basic, vous pouvez exécuter la liste des configurations indiquée :
      • Donnez au groupe de tunnels le nom sslgroup.
      • Sous l'affectation d'adresse du client, choisissez le vpnpool de pool d'adresses de la liste déroulante de groupes d'adresse du client.
      • Dans le cadre de la stratégie de groupe par défaut, choisissez le clientgroup de stratégie de groupe de la liste déroulante de stratégie de groupe.

      • Sous l'avancé > le groupe onglet URL alias/groupe, spécifient le pseudonyme de groupe comme sslgroup_users et cliquent sur OK.

        Configuration CLI équivalente :

        ciscoasa(config)#tunnel-group sslgroup type remote-access
        ciscoasa(config)#tunnel-group sslgroup general-attributes
        ciscoasa(config-tunnel-general)#address-pool vpnpool
        ciscoasa(config-tunnel-general)#default-group-policy clientgroup
        ciscoasa(config-tunnel-general)#exit
        ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
        ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

L'ASA libèrent 9.1(2) la configuration dans le CLI

 

ciscoasa(config)#show running-config
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.77.241.142 255.255.255.192
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface

!--- Command that permits the SSL VPN traffic to enter and exit the same interface.

object network obj-inside
subnet 10.77.241.128 255.255.255.192

!--- Commands that define the network objects we will use later on the NAT section.

access-list SPLIt-ACL standard permit 10.77.241.0 255.255.255.0
access-list SPLIt-ACL standard permit 192.168.10.0 255.255.255.0

!--- Standard Split-Tunnel ACL that determines the networks that should travel the
Anyconnect tunnel.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0

!--- The address pool for the Cisco AnyConnect SSL VPN Clients

no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-inside obj-inside destination static
obj-AnyconnectPool obj-AnyconnectPool

!--- The Manual NAT that prevents the inside network from getting translated when
going to the Anyconnect Pool

object network obj-inside
nat (inside,outside) dynamic interface

!--- The Object NAT statements for Internet access used by inside users.
!--- Note: Uses an RFC 1918 range for lab setup.

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
webvpn
enable outside


!--- Enable WebVPN on the outside interface


anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image


anyconnect enable


!--- Enable the security appliance to download SVC images to remote computers


tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
vpn-tunnel-protocol ssl-client


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelspecified


!--- Encrypt only traffic specified on the split-tunnel ACL coming from the SSL
VPN Clients.


split-tunnel-network-list value SPLIt-ACL


!--- Defines the previosly configured ACL to the split-tunnel policy.

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
address-pool vpnpool


!--- Associate the address pool vpnpool created


default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

  • affichez à des svc-affichages de VPN-sessiondb les informations sur les connexions SSL de courant.

    ciscoasa#show vpn-sessiondb anyconnect

    Session Type: SVC

    Username : ssluser1 Index : 12
    Assigned IP : 192.168.10.1 Public IP : 192.168.1.1
    Protocol : Clientless SSL-Tunnel DTLS-Tunnel
    Encryption : RC4 AES128 Hashing : SHA1
    Bytes Tx : 194118 Bytes Rx : 197448
    Group Policy : clientgroup Tunnel Group : sslgroup
    Login Time : 17:12:23 IST Mon Mar 24 2008
    Duration : 0h:12m:00s
    NAC Result : Unknown
    VLAN Mapping : N/A VLAN : none
  • affichez de groupe-pseudonyme-affichages de webvpn configuré alias pour différents groupes.
    ciscoasa#show webvpn group-alias
    Tunnel Group: sslgroup Group Alias: sslgroup_users enabled
  • Dans l'ASDM, choisissez le Monitoring > VPN > VPN Statistics > Sessions afin de connaître les sessions en cours dans l'ASA.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

  • <username>-Command de nom de déconnexion de VPN-sessiondb pour fermer une session la session de VPN SSL pour le nom d'utilisateur particulier.
    ciscoasa#vpn-sessiondb logoff name ssluser1
    Do you want to logoff the VPN session(s)? [confirm] Y
    INFO: Number of sessions with name "ssluser1" logged off : 1

    ciscoasa#Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0xB000)

    De même, vous pouvez employer la commande d'anyconnect de déconnexion de VPN-sessiondb afin de terminer toutes les sessions d'AnyConnect.

  • anyconnect <1-255>-Provides de debug webvpn les événements en temps réel de webvpn afin d'établir la session.
    Ciscoasa#debug webvpn anyconnect 7
    CSTP state = HEADER_PROCESSING
    http_parse_cstp_method()
    ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'Host: 10.198.16.132'
    Processing CSTP header line: 'Host: 10.198.16.132'
    webvpn_cstp_parse_request_field()
    ...input: 'User-Agent: Cisco AnyConnect VPN Agent for Windows 3.1.05152'
    Processing CSTP header line: 'User-Agent: Cisco AnyConnect VPN Agent for Windows
    3.1.05152'
    Setting user-agent to: 'Cisco AnyConnect VPN Agent for Windows 3.1.05152'
    webvpn_cstp_parse_request_field()
    ...input: 'Cookie: webvpn=146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    Processing CSTP header line: 'Cookie: webvpn=
    146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    Found WebVPN cookie: 'webvpn=146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    WebVPN Cookie: 'webvpn=146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Version: 1'
    Processing CSTP header line: 'X-CSTP-Version: 1'
    Setting version to '1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Hostname: WCRSJOW7Pnbc038'
    Processing CSTP header line: 'X-CSTP-Hostname: WCRSJOW7Pnbc038'
    Setting hostname to: 'WCRSJOW7Pnbc038'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-MTU: 1280'
    Processing CSTP header line: 'X-CSTP-MTU: 1280'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Address-Type: IPv6,IPv4'
    Processing CSTP header line: 'X-CSTP-Address-Type: IPv6,IPv4'
    webvpn_cstp_parse_request_field()
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Base-MTU: 1300'
    Processing CSTP header line: 'X-CSTP-Base-MTU: 1300'
    webvpn_cstp_parse_request_field()
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Full-IPv6-Capability: true'
    Processing CSTP header line: 'X-CSTP-Full-IPv6-Capability: true'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Master-Secret: F1810A764A0646376F7D254202A0A602CF075972F91EAD1
    9BB6BE387BB8C6F893BFB49886D47F9A4BE2EA2A030BF620D'
    Processing CSTP header line: 'X-DTLS-Master-Secret: F1810A764A0646376F7D254202A0
    A602CF075972F91EAD19BB6BE387BB8C6F893BFB49886D47F9A4BE2EA2A030BF620D'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
    Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3
    -SHA:DES-CBC-SHA'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Accept-Encoding: lzs'
    Processing CSTL header line: 'X-DTLS-Accept-Encoding: lzs'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Header-Pad-Length: 0'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Accept-Encoding: lzs,deflate'
    Processing CSTP header line: 'X-CSTP-Accept-Encoding: lzs,deflate'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Protocol: Copyright (c) 2004 Cisco Systems, Inc.'
    Processing CSTP header line: 'X-CSTP-Protocol: Copyright (c) 2004 Cisco Systems, Inc.'
    Validating address: 0.0.0.0
    CSTP state = WAIT_FOR_ADDRESS
    webvpn_cstp_accept_address: 192.168.10.1/255.255.255.0
    webvpn_cstp_accept_ipv6_address: No IPv6 Address
    CSTP state = HAVE_ADDRESS
    SVC: Sent gratuitous ARP for 192.168.10.1.
    SVC: NP setup
    np_svc_create_session(0x5000, 0xa930a180, TRUE)
    webvpn_svc_np_setup
    SVC ACL Name: NULL
    SVC ACL ID: -1
    vpn_put_uauth success for ip 192.168.10.1!
    No SVC ACL
    Iphdr=20 base-mtu=1300 def-mtu=1500 conf-mtu=1406
    tcp-mss = 1260
    path-mtu = 1260(mss)
    mtu = 1260(path-mtu) - 0(opts) - 5(ssl) - 8(cstp) = 1247
    tls-mtu = 1247(mtu) - 20(mac) = 1227
    DTLS Block size = 16
    mtu = 1300(base-mtu) - 20(ip) - 8(udp) - 13(dtlshdr) - 16(dtlsiv) = 1243
    mod-mtu = 1243(mtu) & 0xfff0(complement) = 1232
    dtls-mtu = 1232(mod-mtu) - 1(cdtp) - 20(mac) - 1(pad) = 1210
    computed tls-mtu=1227 dtls-mtu=1210 conf-mtu=1406
    DTLS enabled for intf=2 (outside)
    tls-mtu=1227 dtls-mtu=1210
    SVC: adding to sessmgmt

    Unable to initiate NAC, NAC might not be enabled or invalid policy
    CSTP state = CONNECTED
    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got internal message
    Unable to initiate NAC, NAC might not be enabled or invalid policy
  • Dans l'ASDM, choisissez Monitoring > Logging > Real-time Log Viewer > View afin de voir les événements en temps réel. Cet exemple affiche les informations de session entre l'AnyConnect 192.168.10.1 et serveur telnet 10.2.2.2 en Internet par l'intermédiaire d'ASA 172.16.1.1.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 100918