Sécurité : Cisco Adaptive Security Device Manager

ASDM et webvpn activés sur la même interface de l'ASA

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment accéder au Cisco Adaptive Security Device Manager (ASDM) et le portail de webvpn quand ils chacun des deux sont activés sur la même interface de l'appliance de sécurité adaptable de gamme Cisco 5500 (ASA).

Remarque: Ce document s'applique pas applicable pour le Pare-feu de la gamme Cisco 500 PIX, parce qu'il ne prend en charge pas le webvpn.

Contribué par Atri Basu, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

Composants utilisés

Les informations dans ce document sont basées sur la gamme Cisco 5500 ASA.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Problème

Dans des versions ASA plus tôt que la version 8.0(2), l'ASDM et le webvpn ne peuvent pas être activés sur la même interface de l'ASA, comme chacun des deux écoutent sur le même port (443) par défaut. Dans les versions 8.0(2) et ultérieures, l'ASA prend en charge les deux sessions sans client de Secure Sockets Layer (SSL) VPN (webvpn) et sessions administratives ASDM simultanément sur le port 443 de l'interface extérieure. Cependant, quand les deux services sont activés ensemble, l'URL de par défaut pour une interface spécifique sur l'ASA se transfère toujours sur le service de webvpn. Par exemple, considérez ce data&colon de configuration ASA ;

rtpvpnoutbound6# show run ip
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.150.172.46 255.255.252.0
!
interface Vlan3
 nameif dmz
 security-level 50
 ip address dhcp
!
interface Vlan5
 nameif test
 security-level 0
 ip address 1.1.1.1 255.255.255.255 pppoe setroute
!
rtpvpnoutbound6# show run web
webvpn
 enable outside
 enable dmz
 anyconnect image disk0:/anyconnect-win-3.1.06078-k9.pkg 1
 anyconnect image disk0:/anyconnect-macosx-i386-3.1.06079-k9.pkg 2
 anyconnect enable
 tunnel-group-list enable
 tunnel-group-preference group-url

rtpvpnoutbound6#  show run http
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 dmz
http 0.0.0.0 0.0.0.0 outside

rtpvpnoutbound6# show run tun
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool ap_fw-policy
 authentication-server-group ldap2
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 group-url https://rtpvpnoutbound6.cisco.com/admin enable
 without-csd

Solution

Afin de résoudre ce problème, vous pouvez employer l'URL approprié afin d'accéder au service respectif ou changer le port sur lequel les services sont accédés à.

Remarque: Un inconvénient avec la dernière solution est que le port est changé globalement, ainsi chaque interface est affectée par la modification.

Utilisez l'URL approprié

Dans les données d'exemple de configuration fournies dans la section Problème, l'interface extérieure de l'ASA peut être atteinte par HTTPS par l'intermédiaire de ces deux URLs :

https://<ip-address> <=> https://10.150.172.46
https://<domain-name> <=> https://rtpvpnoutbound6.cisco.com

Cependant, si vous tentez d'accéder à ces l'URLs tandis que le service de webvpn est activé, l'ASA vous réoriente au portail de webvpn :

https://rtpvpnoutbound6.cisco.com/+CSCOE+/logon.html

Afin d'accéder à l'ASDM, vous pouvez utiliser cet URL :

https://rtpvpnoutbound6.cisco.com/admin

Remarque: Suivant les indications des données d'exemple de configuration, le groupe par défaut de tunnel a un groupe-URL défini avec l'utilisation de la commande d'enable groupe-URL https://rtpvpnoutbound6.cisco.com/admin, qui devrait être en conflit avec l'accès ASDM. Cependant, l'URL https:// <ip-address/domain>/admin est réservé pour l'accès ASDM, et si vous le placez sous le groupe de tunnel, il n'y a aucun effet. Vous êtes toujours réorienté à https:// <ip-address/domain>/admin/public/index.html.

Changez le port sur lequel chaque service écoute

Cette section décrit comment changer le port pour l'ASDM et des services de webvpn.

Changez le port pour le service de serveur HTTPS globalement

Terminez-vous ces étapes afin de changer le port pour le service ASDM :

  1. Permettez au serveur HTTPS d'écouter sur un port différent afin de changer la configuration qui est liée au service ASDM sur l'ASA, comme affiché ici :
    ASA(config)#http server enable <1-65535>

    configure mode commands/options:
    <1-65535> The management server's SSL listening port. TCP port 443 is the
    default.
    Voici un exemple :
    ASA(config)#http server enable 65000
  2. Après que vous changiez la configuration des ports par défaut, employez ce format afin de lancer l'ASDM d'un navigateur Web pris en charge sur le réseau de dispositifs de sécurité :
    https://interface_ip_address:<customized port number>
    Voici un exemple :
    https://192.168.1.1:65000

Changez le le port pour le service de webvpn globalement

Terminez-vous ces étapes afin de changer le port pour le service de webvpn :

  1. Permettez au webvpn pour écouter sur un port différent afin de changer la configuration qui est liée au service de webvpn sur l'ASA :

    1. Activez la caractéristique de webvpn sur l'ASA :
      ASA(config)#webvpn
    2. Activez le service de webvpn pour l'interface extérieure de l'ASA :
      ASA(config-webvpn)#enable outside
    3. Permettez à l'ASA pour écouter le trafic de webvpn sur le numéro de port personnalisé :
      ASA(config-webvpn)#port <1-65535>

      webvpn mode commands/options:
      <1-65535> The WebVPN server's SSL listening port. TCP port 443 is the
      default.
    Voici un exemple :
    ASA(config)#webvpn
    ASA(config-webvpn)#enable outside
    ASA(config-webvpn)#port 65010
  2. Après que vous changiez la configuration des ports par défaut, ouvrez un navigateur Web pris en charge et employez ce format afin de se connecter au serveur de webvpn :
    https://interface_ip_address:<customized port number>
    Voici un exemple :
    https://192.168.1.1:65010

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118842