Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Note technique concernant le dépannage VPN SSL (WebVPN) sans client ASA

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document répertorie les techniques de dépannage sans client de VPN SSL (webvpn) adoptées pour des versions 7.1, 7.2, et 8.0 ASA. Il y a les avancements significatifs entre ces releases qui exigent des techniques de dépannage diverses d'être adopté.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur la gamme Cisco 5500 ASA qui exécutent la version de logiciel 7.1 ou plus élevé.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Dépannage

Le préalable à dépanner les connexions sans client de VPN SSL (webvpn) sur l'ASA est de gagner la visibilité dans l'expérience de client par l'intermédiaire des captures d'écran et le HTML capturent des outils et comparer alors ceci aux mêmes informations une fois connecté directement à l'URL/Application étant accédé à.

Version 7.1/7.2 ASA sans client

Cette section décrit les techniques de dépannage pour les versions 7.1/7.2 ASA et tous les intérims jusqu'à, mais pas comprenant, la release 8.0.

Dans cette release si les fonctions complexes de Javas/Javascript ont la difficulté, d'autres options (telles que l'expédition de port d'accès d'application ou l'utilisation du proxy-contournement) pourraient être considérées. Référez-vous à configurer l'application Access et à l'aide du contournement de proxy pour plus d'informations sur ces solutions de rechange.

Dans la plupart des scénarios, si l'URL qui est accédé à par le VPN SSL sans client échoue pour l'Internet Explorer, il échouera également pour un autre navigateur.

Afin de s'assurer que ce ne dépend pas du PC client ou du système d'exploitation, utilisez un autre client d'un endroit différent. L'utilisation d'un client d'IPsec ou de VPN SSL peut également être testée.

Assurez-vous que l'ASA est incluse dans le navigateur a fait confiance à la zone comme décrit en activant des Témoins sur des navigateurs pour le webvpn et que des Témoins sont activés comme décrit en Témoins d'enable.

Si le processus échoue toujours, terminez-vous ces étapes afin de recueillir les informations nécessaires, et puis ouvrir une valise TAC.

  1. Effacez le cache du navigateur comme décrit dans effacez le cache du navigateur.

  2. Effacez le cache de Javas comme décrit dans effacez le cache de Javas.

  3. Désactivez le cache de webvpn sur l'ASA comme décrit en configurant la mise en cache.

  4. Si un applet Java est présent, l'utilisation mettent au point le niveau 5 dans la fenêtre d'applet comme décrit dans des options d'élimination des imperfections d'applet Java d'enable.

  5. Connectez-vous dans l'ASA par l'intermédiaire du VPN SSL sans client.

  6. À l'URL juste avant l'URL problématique, activez un outil de capture HTML dans le navigateur comme décrit dedans activez les outils de capture HTML.

  7. Capturez l'ordre de ce point à l'URL problématique.

  8. Appuyez sur l'écran Ctrl+Print sur votre clavier afin de capturer un tir d'écran.

  9. Arrêtez l'outil de capture HTML.

  10. Exécutez les mêmes étapes 1 à 9 quand vous vous connectez directement à l'URL par l'intermédiaire d'un IPsec ou de la session de VPN SSL par l'ASA ou vous connectez directement sur le même segment de RÉSEAU LOCAL (si possible) et envoyez les données au TAC pour l'analyse.

Version 8.0 ASA sans client

Cette section décrit les techniques de dépannage utilisées pour des versions 8.0 ASA et tous les intérims.

Dans cette release si l'URLs complexe ou les applications ont la difficulté par le VPN SSL sans client, d'autres options (telles que l'utilisation des tunnels intelligents) sont une alternative puissante. Référez-vous à configurer le tunnel intelligent Access pour plus d'informations sur les tunnels intelligents.

Vous pourriez également considérer l'expédition de port d'accès d'application ou l'utilisation du proxy-contournement. Référez-vous à configurer l'application Access et à l'aide du contournement de proxy pour plus d'informations sur ces solutions de rechange.

Dans la plupart des scénarios, si l'URL qui est accédé à par le VPN SSL sans client échoue pour l'Internet Explorer, il échouera également pour un autre navigateur.

Afin de s'assurer que ce ne dépend pas du PC client ou du système d'exploitation, utilisez un autre client d'un endroit différent. L'utilisation d'un client d'IPsec ou de VPN SSL peut également être testée.

Assurez-vous que l'ASA est incluse dans le navigateur a fait confiance à la zone comme décrit en activant des Témoins sur des navigateurs pour le webvpn et que des Témoins sont activés comme décrit en Témoins d'enable.

Si une application éprouve une question avec l'engine satisfaite sans client de transformation (CTE/rewriter), vous pouvez modifier le signet pour cette application afin d'activer l'option intelligente de tunnel suivant les indications de cette image :

ssl_clientless_trouble_20.gif

L'activation de cette option pour un signet n'exige pas la configuration supplémentaire. Semblable à la transmission du port, c'est une autre option commode de cliquer sur un signet afin d'ouvrir une nouvelle fenêtre qui utilise le tunnel intelligent pour passer le trafic de l'application et pour éviter des questions de réécriture.

Quand vous utilisez cette caractéristique pour des applications du Winsock 32 de TCP (telles que la RDP), l'administrateur est requis d'identifier le processus à utiliser par les tunnels intelligents. Par exemple, la RDP utilise le processus mstsc.exe ; une entrée intelligente simple de tunnel peut être créée pour ce processus.

Des applications plus compliquées peuvent engendrer des processus multiples. De la page du portail de webvpn, choisissez le panneau d'acce2s d'application. Dès qu'il chargera, la liste d'applications permises peuvent se connecter au côté privé du réseau.

Si le processus échoue toujours, terminez-vous ces étapes afin de recueillir les informations nécessaires, et puis ouvrir une valise TAC.

  1. Effacez le cache du navigateur comme décrit dans effacez le cache du navigateur.

  2. Effacez le cache de Javas comme décrit dans effacez le cache de Javas.

  3. Désactivez le cache de webvpn sur l'ASA comme décrit en configurant la mise en cache.

  4. Si un applet Java est présent, l'utilisation mettent au point le niveau 5 dans la fenêtre d'applet comme décrit dans des options d'élimination des imperfections d'applet Java d'enable.

  5. Connectez-vous dans l'ASA par l'intermédiaire du VPN SSL sans client.

  6. À l'URL juste avant l'URL problématique, activez un outil de capture HTML dans le navigateur comme décrit dedans activez les outils de capture HTML.

  7. Capturez l'ordre de ce point à l'URL problématique.

  8. Appuyez sur l'écran Ctrl+Print sur votre clavier afin de capturer un tir d'écran.

  9. Arrêtez l'outil de capture HTML.

  10. Exécutez les étapes 1 à 9 quand vous vous connectez directement à l'URL par l'intermédiaire ou d'un IPsec ou en connectent la session SSL par l'ASA ou se connectent directement sur le même segment de RÉSEAU LOCAL (si possible), se terminent ces étapes, et envoient les données au TAC pour l'analyse

Procédures

Ajoutez l'ASA comme un site de confiance

Quand vous accédez à l'ASA en Internet Explorer, vous recevrez une erreur de certificat si le site n'est pas inclus comme site de confiance.

ssl_clientless_trouble_05.gif

Terminez-vous ces étapes afin d'ajouter l'ASA comme un site de confiance :

  1. Dans l'explorateur d'Interent, choisissez les outils > les options Internet.

  2. Cliquez sur l'onglet Sécurité, et choisissez les sites de Trused.

    ssl_clientless_trouble_06.gif

  3. Sites de clic.

  4. Ajoutez l'adresse de https:// de l'ASA, et cliquez sur Add.

    ssl_clientless_trouble_07.gif

  5. Une fois que le site est ajouté, l'icône de confiance de sites apparaît dans la barre d'état d'Internet Explorer.

    ssl_clientless_trouble_08.gif

Remarque: Référez-vous à fonctionner avec des paramètres de sécurité de l'Internet Explorer 6leavingcisco.com pour des informations détaillées sur cette procédure.

Témoins d'enable

Terminez-vous ces étapes afin d'activer des Témoins :

  1. En Internet Explorer, choisissez les outils > les options Internet.

  2. Cliquez sur l'onglet d'intimité, et puis cliquez sur avancé.

    ssl_clientless_trouble_01.gif

  3. Dans la boîte de dialogue Settings avancée d'intimité, cochez le Témoin automatique de priorité manipulant la case, cliquez sur la case d'option de recevoir, et cliquez sur OK.

    ssl_clientless_trouble_02.gif

Effacez le cache du navigateur

Terminez-vous ces étapes afin d'effacer le cache pour l'Internet Explorer :

  1. En Internet Explorer, choisissez les outils > les options Internet.

    ssl_clientless_trouble_09.gif

  2. Sur l'onglet Général, cliquez sur Delete dans la section d'historique de furetage.

    ssl_clientless_trouble_10.gif

  3. Cliquez sur Delete tous.

    ssl_clientless_trouble_11.gif

  4. Cochez également les fichiers et les configurations de supprimer enregistrés par la case d'adjonctions, et cliquez sur oui.

  5. Une fois le cache est effacé, a arrêté tous les exemples du navigateur, et redémarre le navigateur.

Remarque: Afin d'effacer le cache pour d'autres navigateurs, référez-vous à comment I effacent le cache de mon navigateur (pour améliorer sa représentation) ? leavingcisco.com

Effacez le cache de Javas

Terminez-vous ces étapes afin d'effacer le cache de Javas :

  1. Choisissez le panneau de configuration du menu de démarrage de Windows.

  2. Javas de double clic.

    ssl_clientless_trouble_12.gif

  3. Configurations de clic.

  4. Cliquez sur Delete les fichiers.

    ssl_clientless_trouble_13.gif

Remarque: Référez-vous à comment I effacent mon cache de Javas ?leavingcisco.com pour plus d'informations sur cette procédure.

Options d'élimination des imperfections d'applet Java d'enable

Terminez-vous ces étapes afin d'activer l'option d'élimination des imperfections d'applet Java :

  1. Assurez Javas 1.4 ou ci-dessus êtes activé :

    1. Choisissez le panneau de configuration du menu de démarrage de Windows.

    2. Javas de double clic.

    3. Cliquez sur environ, et vérifiez le numéro de version.

    ssl_clientless_trouble_14.gif

    ssl_clientless_trouble_15.gif

    Remarque: Vous pouvez télécharger des mises à jour de Javas de http://java.com/en/leavingcisco.com .

  2. Assurez-vous que Java est configurée pour activer le suivi, pour afficher la console, et pour placer Microsoft Internet Explorer en tant que navigateur par défaut suivant les indications de cette image :

    ssl_clientless_trouble_16.gif

  3. Assurez-vous que le cache de Javas est effacé comme décrit dans effacez le cache de Javas.

  4. En Internet Explorer, choisissez les outils > la console Java afin d'ouvrir Javas mettent au point la fenêtre.

    ssl_clientless_trouble_19.gif

  5. Une fois que la console Java mettent au point la fenêtre est ouverte, appuient sur 5 afin de placer le niveau de suivi

    Quand on accède à un URL qui contient un applet Java, l'activité est capturée dans cette fenêtre.

  6. Copie de clic afin de copier les informations.

Activez les outils de capture HTML

Un certain nombre de différents outils de capture HTML sont disponibles pour recueillir des données, certains dont ont été répertoriés ici. Installez un de ces outils de capture HTML sur le PC client pour lequel est utilisé est exercice de collecte de données :

Remarque: Ce les procédures utilise l'application de HTTPWatch.

Une fois que l'application est installée, terminez-vous ces étapes :

  1. Appuyez sur Shift+P+F+2 ou cliquez sur l'icône dans la fenêtre du navigateur afin d'activer HTTPWatch.

    ssl_clientless_trouble_03.gif

  2. Une fois que l'application est activée, une fenêtre apparaît encastré au bas de la fenêtre du navigateur semblable à cette image :

    ssl_clientless_trouble_04.gif
  3. Enregistrement de clic afin d'enregistrer des données ; arrêt de clic afin de cesser enregistrement.

Remarque: Il est recommandé pour employer HttpWatch 7.x afin d'enregistrer les données.


Informations connexes


Document ID: 104298