Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA 9.x: Ejemplos de configuración de U-torneado del cliente VPN de AnyConnect

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Abril 2015) | Comentarios

Introducción

Este documento describe cómo configurar una versión adaptante del dispositivo de seguridad (ASA) 9.1(2) para realizar Secure Sockets Layer (SSL) VPN en un palillo con el Cliente Cisco AnyConnect VPN. Esta configuración se aplica a un caso específico donde el ASA no permite el Túnel dividido y los usuarios conectan directamente con el ASA antes de que los permitan para ir a Internet.

Nota:  Para evitar una coincidencia de los IP Addresses en la red, asigne un pool totalmente diverso de los IP Addresses al cliente VPN (por ejemplo, 10.x.x.x, 172.16.x.x, y 192.168.x.x). Este esquema de IP Addressing es útil para resolver problemas su red.

Hairpinning o giro de 180 grados

Esta característica es útil para el tráfico VPN que ingresa una interfaz, pero después se rutea fuera de esa misma interfaz. Por ejemplo, si usted tiene una red VPN del hub-and-spoke donde está el concentrador el dispositivo de seguridad y las redes VPN remotas son spokes, para que uno habló para comunicar con otro tráfico del spoke debe salir al dispositivo de seguridad y entonces otra vez al otro spoke.

Ingrese el comando same-security-traffic para permitir que el tráfico ingrese y que salga la misma interfaz.

ciscoasa(config)#same-security-traffic permit intra-interface

Contribuido por Yamil Gazel y el Medina de Gustavo, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que usted cumple estos requisitos antes de que usted intente esta configuración:

  • El dispositivo de seguridad del concentrador ASA necesita funcionar con la versión 9.x.

  • Cliente Cisco AnyConnect VPN 3.x

    Nota: Descargue el paquete de AnyConnect VPN Client (anyconnect-win*.pkg) de Descarga de Cisco Software (sólo clientes registrados). Copie el AnyConnect VPN client en la memoria flash ASA, que será descargada a los equipos de los usuarios remotos para establecer la conexión SSL VPN con el ASA. Consulte la sección Instalación de AnyConnect Client de la guía de configuración ASA para obtener más información.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco 5500 Series ASA que funcionan con la versión de software 9.1(2)

  • Versión del cliente VPN de Cisco AnyConnect SSL para Windows 3.1.05152

  • PC que ejecuta un OS soportado por la carta de la compatibilidad.

  • Versión 7.1(6) del Cisco Adaptive Security Device Manager (ASDM)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

El Cisco AnyConnect VPN Client proporciona conexiones SSL seguras al dispositivo de seguridad para los usuarios remotos. Sin un cliente previamente instalado, los usuarios remotos ingresan la dirección IP en su navegador de una interfaz configurada para aceptar las conexiones VPN SSL. A menos que el dispositivo de seguridad se configure para redireccionar las solicitudes de http:// a https://, los usuarios deben ingresar el URL en la forma https://<dirección>.

Después de que se ingrese el URL, el hojeador conecta con esa interfaz y visualiza la pantalla de inicio de sesión. Si el usuario satisface el login y la autenticación, y el dispositivo de seguridad identifica que el usuario solicita el cliente, descarga el cliente que corresponde según el sistema operativo del equipo remoto. Después de que la descarga, el cliente instale y se configure, establece una conexión SSL segura y permanece o se desinstala (esto depende de la configuración del dispositivo de seguridad) cuando la conexión termina.

En el caso de un cliente previamente instalado, cuando el usuario realiza la autenticación, el dispositivo de seguridad examina la revisión del cliente y actualiza el cliente según sea necesario.

Cuando el cliente negocia una conexión VPN SSL con el dispositivo de seguridad, conecta con Transport Layer Security (TLS), y también utiliza la Seguridad de la capa de transporte de datagrama (DTL). Los DTL evitan el tiempo de espera y los problemas de ancho de banda asociados a algunas conexiones SSL y mejoran el funcionamiento de las aplicaciones en tiempo real que son sensibles a los retrasos de paquetes.

El cliente AnyConnect puede ser descargado del dispositivo de seguridad, o puede ser instalado manualmente en el equipo remoto por el administrador del sistema. Para más información sobre cómo instalar al cliente manualmente, refiera a la guía del administrador del Cliente Cisco AnyConnect VPN.

El dispositivo de seguridad descarga al cliente basado en los atributos de la directiva o del nombre de usuario del grupo del usuario que establece la conexión. Puede configurar el dispositivo de seguridad para descargar automáticamente el cliente, o puede configurarlo para indicarle al usuario remoto si debe descargar el cliente. En este último caso, si el usuario no responde, puede configurar el dispositivo de seguridad para que descargue el cliente después de un determinado tiempo de espera o presentar las páginas de registro.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Cliente VPN de AnyConnect para los Internetes públicas VPN en un ejemplo de configuración del palillo

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuraciones de la versión ASA 9.1(2) con la versión del ASDM 7.1(6)

Este documento asume que la configuración básica, tal como configuración de la interfaz, está completada ya y trabaja correctamente.

Nota: Refiera a configurar el acceso HTTPS para el ASDM para permitir que el ASA sea configurado por el ASDM.

Nota: En la versión 8.0(2) y posterior, el ASA apoya ambas sesiones del clientless SSL VPN (WebVPN) y sesiones administrativas del ASDM simultáneamente en el puerto 443 de la interfaz exterior. En las versiones anterior que la versión 8.0(2), el WebVPN y el ASDM no se pueden habilitar en la misma interfaz ASA a menos que usted cambie los números del puerto. Consulte ASDM y WebVPN Habilitados en la Misma Interfaz de ASA para obtener más información.

Complete estos pasos para configurar el SSL VPN en un palillo en el ASA:

  1. Elija la configuración > configuración de dispositivo > las interfaces y marcan el tráfico del habilitar entre dos o más hosts conectados con el mismo rectángulo de comprobaciones de interfaz para permitir que el tráfico SSL VPN ingrese y salga lo mismo interconecte. Haga clic en Apply (Aplicar).

    Configuración CLI Equivalente:

    ciscoasa(config)#same-security-traffic permit intra-interface
  2. Elija la configuración > el VPN de acceso remoto > el acceso > la asignación de dirección > a las agrupaciones de direcciones de la red (cliente) > Add para crear un vpnpool del pool de la dirección IP.

  3. Haga clic en Apply (Aplicar).

    Configuración CLI Equivalente:

    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0
  4. Habilite WebVPN.
    1. Elija Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles y, debajo de Access Interfaces, haga clic en los cuadros de verificación Allow Access and Enable DTLS para la interfaz externa. También verifique la Casilla de Selección Enable Cisco AnyConnect VPN Client or legacy SSL VPN Client access on the interface selected in the table below para habilitar SSL VPN en la interfaz exterior.

    2. Haga clic en Apply (Aplicar).
    3. Elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > el software de cliente de Anyconnect > Add para agregar la imagen del Cliente Cisco AnyConnect VPN de la memoria flash del ASA como se muestra.

      Configuración CLI Equivalente:

      ciscoasa(config)#webvpn
      ciscoasa(config-webvpn)#enable outside
      ciscoasa(config-webvpn)#anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1
      ciscoasa(config-webvpn)#tunnel-group-list enable
      ciscoasa(config-webvpn)#anyconnect enable
  5. Configure la Política de Grupo.
    1. Elija Configuration > Remote Access VPN > Network (Client) Access > Group Policies para crear una política de grupo interna clientgroup. Debajo de la ficha General, seleccione la casilla de selección SSL VPN Client para habilitar el WebVPN como protocolo de tunelización.

    2. En el avanzado > la lengueta del Túnel dividido, elige el túnel todas las redes de la lista desplegable de la directiva de la directiva para hacer todos los paquetes que vienen de la PC remota a través de un túnel seguro.

      Configuración CLI Equivalente:

      ciscoasa(config)#group-policy clientgroup internal
      ciscoasa(config)#group-policyclientgroup attributes
      ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client
      ciscoasa(config-group-policy)#split-tunnel-policy tunnelall
  6. Elija la configuración > el VPN de acceso remoto > los usuarios > a los usuarios locales AAA/Local > Add para crear una cuenta de usuario nuevo ssluser1. Haga clic en OK y en Apply.

    Configuración CLI Equivalente:

    ciscoasa(config)#username ssluser1 password asdmASA@
  7. Configure el Grupo de Túnel.
    1. Elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > los perfiles de la conexión de Anyconnect > Add para crear un nuevo sslgroup del grupo de túnel.
    2. En la pestaña Basic, puede confeccionar la lista de configuraciones como se muestra:
      • Asigne el grupo de Túnel como sslgroup.
      • Bajo asignación de dirección cliente, elija el vpnpool de la agrupación de direcciones de la lista desplegable de los pools de la dirección cliente.
      • Bajo directiva del grupo predeterminado, elija el clientgroup de la directiva del grupo de la lista desplegable de la directiva del grupo.

      • Bajo el avanzado > el grupo lengueta alias/del grupo URL, especifica el nombre de alias del grupo como sslgroup_users y hace clic la AUTORIZACIÓN.

        Configuración CLI Equivalente:

        ciscoasa(config)#tunnel-group sslgroup type remote-access
        ciscoasa(config)#tunnel-group sslgroup general-attributes
        ciscoasa(config-tunnel-general)#address-pool vpnpool
        ciscoasa(config-tunnel-general)#default-group-policy clientgroup
        ciscoasa(config-tunnel-general)#exit
        ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
        ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable
  8. Configuración NAT
    1. Elija la configuración > el Firewall > el NAT gobierna > Add la regla NAT del “objeto de red” tan el tráfico que viene de la red interna se puede traducir con el IP Address externo 172.16.1.1.

    2. Elija la configuración > el Firewall > el NAT gobierna > Add la regla NAT del “objeto de red” tan el tráfico que el tráfico VPN que viene de la red externa se puede traducir con el IP Address externo 172.16.1.1.

      Configuración CLI Equivalente:

      ciscoasa(config)# object network obj-inside
      ciscoasa(config-network-object)# subnet 10.77.241.128 255.255.255.192
      ciscoasa(config-network-object)# nat (inside,outside) dynamic interface
      ciscoasa(config)# object network obj-AnyconnectPool
      ciscoasa(config-network-object)# subnet 192.168.10.0 255.255.255.0
      ciscoasa(config-network-object)# nat (outside,outside) dynamic interface

Configuración de la versión ASA 9.1(2) en el CLI

ciscoasa(config)#show running-config
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.77.241.142 255.255.255.192
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface

!--- Command that permits the SSL VPN traffic to enter and exit the same interface.

object network obj-AnyconnectPool
subnet 192.168.10.0 255.255.255.0
object network obj-inside
subnet 10.77.241.128 255.255.255.192

!--- Commands that define the network objects we will use later on the NAT section.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-inside obj-inside destination static
obj-AnyconnectPool obj-AnyconnectPool

!--- The Manual NAT that prevents the inside network from getting translated
when going to the Anyconnect Pool.

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface
object network obj-inside
nat (inside,outside) dynamic interface

!--- The Object NAT statements for Internet access used by inside users and
Anyconnect Clients.
!--- Note: Uses an RFC 1918 range for lab setup.

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
webvpn
enable outside


!--- Enable WebVPN on the outside interface


anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image


anyconnect enable


!--- Enable the security appliance to download SVC images to remote computers


tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
vpn-tunnel-protocol ssl-client


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
address-pool vpnpool


!--- Associate the address pool vpnpool created


default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Permita la comunicación entre los clientes VPN de AnyConnect con la configuración de TunnelAll en el lugar

Diagrama de la red

Si la comunicación entre los clientes de Anyconnect se requiere y el NAT para los Internetes públicas en un palillo existe; un NAT manual es también necesario permitir la comunicación bidireccional.

Esto es un escenario frecuente cuando los clientes de Anyconnect utilizan los servicios telefónicos y deben poder llamarse.

Configuraciones de la versión ASA 9.1(2) con la versión del ASDM 7.1(6)

Elija la configuración > el Firewall > regla de las reglas > Add NAT NAT antes de que el “objeto de red” NAT gobierne tan el tráfico que viene de la red externa (pool de Anyconect) y ha destinado a otro cliente de Anyconnect del mismo pool no consigue traducida con el IP Address externo 172.16.1.1.

Configuración CLI Equivalente:

nat (outside,outside) source static obj-AnyconnectPool obj-AnyconnectPool destination
static obj-AnyconnectPool obj-AnyconnectPool

Configuración de la versión ASA 9.1(2) en el CLI

ciscoasa(config)#show running-config
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.77.241.142 255.255.255.192
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface

!--- Command that permits the SSL VPN traffic to enter and exit the same interface.

object network obj-AnyconnectPool
subnet 192.168.10.0 255.255.255.0
object network obj-inside
subnet 10.77.241.128 255.255.255.192

!--- Commands that define the network objects we will use later on the NAT section.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-inside obj-inside destination static
obj-AnyconnectPool obj-AnyconnectPool
nat (outside,outside) source static obj-AnyconnectPool obj-AnyconnectPool
destination static obj-AnyconnectPool obj-AnyconnectPool

!--- The Manual NAT statements used so that traffic from the inside network
destined to the Anyconnect Pool and traffic from the Anyconnect Pool destined
to another Client within the same pool does not get translated.

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface
object network obj-inside
nat (inside,outside) dynamic interface

!--- The Object NAT statements for Internet access used by inside users and
Anyconnect Clients.
!--- Note: Uses an RFC 1918 range for lab setup.

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
webvpn
enable outside


!--- Enable WebVPN on the outside interface


anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image


anyconnect enable


!--- Enable the security appliance to download SVC images to remote computers


tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
vpn-tunnel-protocol ssl-client


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
address-pool vpnpool


!--- Associate the address pool vpnpool created


default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Permita la comunicación entre los clientes VPN de AnyConnect con el túnel dividido

Diagrama de la red

Si la comunicación entre los clientes de Anyconnect se requiere y se está utilizando el túnel dividido; no se requiere ningún NAT manual para permitir la comunicación bidireccional a menos que haya una regla NAT que afecta a este tráfico configurado. Sin embargo el pool de Anyconnect VPN se debe incluir en el túnel dividido ACL.

Esto es un escenario frecuente cuando los clientes de Anyconnect utilizan los servicios telefónicos y deben poder llamarse.

Configuraciones de la versión ASA 9.1(2) con la versión del ASDM 7.1(6)

  1. Elija la configuración > el VPN de acceso remoto > las agrupaciones de direcciones de Assignment> del acceso > del direccionamiento de la red (cliente) > Add para crear un vpnpool del pool de la dirección IP.

  2. Haga clic en Apply (Aplicar).

    Configuración CLI Equivalente:

    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0
  3. Habilite WebVPN.
    1. Elija Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles y, debajo de Access Interfaces, haga clic en los cuadros de verificación Allow Access and Enable DTLS para la interfaz externa. También verifique la Casilla de Selección Enable Cisco AnyConnect VPN Client or legacy SSL VPN Client access on the interface selected in the table below para habilitar SSL VPN en la interfaz exterior.

    2. Haga clic en Apply (Aplicar).
    3. Elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > el software de cliente de Anyconnect > Add para agregar la imagen del Cliente Cisco AnyConnect VPN de la memoria flash del ASA como se muestra.

      Configuración CLI Equivalente:

      ciscoasa(config)#webvpn
      ciscoasa(config-webvpn)#enable outside
      ciscoasa(config-webvpn)#anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1
      ciscoasa(config-webvpn)#tunnel-group-list enable
      ciscoasa(config-webvpn)#anyconnect enable
  4. Configure la Política de Grupo.
    1. Elija Configuration > Remote Access VPN > Network (Client) Access > Group Policies para crear una política de grupo interna clientgroup. Debajo de la ficha General, seleccione la casilla de selección SSL VPN Client para habilitar el WebVPN como protocolo de tunelización.

    2. En el avanzado > la lengueta del Túnel dividido, elige la lista de la red de túneles abajo de la lista desplegable de la directiva para hacer todos los paquetes que vienen de la PC remota a través de un túnel seguro.

      Configuración CLI Equivalente:

      ciscoasa(config)#access-list SPLIt-ACL standard permit 10.77.241.0 255.255.255.0
      ciscoasa(config)#access-list SPLIt-ACL standard permit 192.168.10.0 255.255.255.0

      ciscoasa(config)#group-policy clientgroup internal
      ciscoasa(config)#group-policy clientgroup attributes
      ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client
      ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
      ciscoasa(config-group-policy)#split-tunnel-network-list SPLIt-ACL
  5. Elija la configuración > el VPN de acceso remoto > los usuarios > a los usuarios locales AAA/Local > Add para crear una cuenta de usuario nuevo ssluser1. Haga clic en OK y en Apply.

    Configuración CLI Equivalente:

    ciscoasa(config)#username ssluser1 password asdmASA@
  6. Configure el Grupo de Túnel.
    1. Elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > los perfiles de la conexión de Anyconnect > Add para crear un nuevo sslgroup del grupo de túnel.
    2. En la pestaña Basic, puede confeccionar la lista de configuraciones como se muestra:
      • Asigne el grupo de Túnel como sslgroup.
      • Bajo asignación de dirección cliente, elija el vpnpool de la agrupación de direcciones de la lista desplegable de los pools de la dirección cliente.
      • Bajo directiva del grupo predeterminado, elija el clientgroup de la directiva del grupo de la lista desplegable de la directiva del grupo.

      • Bajo el avanzado > el grupo lengueta alias/del grupo URL, especifica el nombre de alias del grupo como sslgroup_users y hace clic la AUTORIZACIÓN.

        Configuración CLI Equivalente:

        ciscoasa(config)#tunnel-group sslgroup type remote-access
        ciscoasa(config)#tunnel-group sslgroup general-attributes
        ciscoasa(config-tunnel-general)#address-pool vpnpool
        ciscoasa(config-tunnel-general)#default-group-policy clientgroup
        ciscoasa(config-tunnel-general)#exit
        ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
        ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

Configuración de la versión ASA 9.1(2) en el CLI

 

ciscoasa(config)#show running-config
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.77.241.142 255.255.255.192
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface

!--- Command that permits the SSL VPN traffic to enter and exit the same interface.

object network obj-inside
subnet 10.77.241.128 255.255.255.192

!--- Commands that define the network objects we will use later on the NAT section.

access-list SPLIt-ACL standard permit 10.77.241.0 255.255.255.0
access-list SPLIt-ACL standard permit 192.168.10.0 255.255.255.0

!--- Standard Split-Tunnel ACL that determines the networks that should travel the
Anyconnect tunnel.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0

!--- The address pool for the Cisco AnyConnect SSL VPN Clients

no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-inside obj-inside destination static
obj-AnyconnectPool obj-AnyconnectPool

!--- The Manual NAT that prevents the inside network from getting translated when
going to the Anyconnect Pool

object network obj-inside
nat (inside,outside) dynamic interface

!--- The Object NAT statements for Internet access used by inside users.
!--- Note: Uses an RFC 1918 range for lab setup.

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
webvpn
enable outside


!--- Enable WebVPN on the outside interface


anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image


anyconnect enable


!--- Enable the security appliance to download SVC images to remote computers


tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
vpn-tunnel-protocol ssl-client


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelspecified


!--- Encrypt only traffic specified on the split-tunnel ACL coming from the SSL
VPN Clients.


split-tunnel-network-list value SPLIt-ACL


!--- Defines the previosly configured ACL to the split-tunnel policy.

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
address-pool vpnpool


!--- Associate the address pool vpnpool created


default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • muestre a SVC-visualizaciones de VPN-sessiondb la información sobre las conexiones SSL actuales.

    ciscoasa#show vpn-sessiondb anyconnect

    Session Type: SVC

    Username : ssluser1 Index : 12
    Assigned IP : 192.168.10.1 Public IP : 192.168.1.1
    Protocol : Clientless SSL-Tunnel DTLS-Tunnel
    Encryption : RC4 AES128 Hashing : SHA1
    Bytes Tx : 194118 Bytes Rx : 197448
    Group Policy : clientgroup Tunnel Group : sslgroup
    Login Time : 17:12:23 IST Mon Mar 24 2008
    Duration : 0h:12m:00s
    NAC Result : Unknown
    VLAN Mapping : N/A VLAN : none
  • muestre de las grupo-alias-visualizaciones del webvpn configurado alias para los diversos grupos.
    ciscoasa#show webvpn group-alias
    Tunnel Group: sslgroup Group Alias: sslgroup_users enabled
  • En el ASDM, elija la supervisión > el VPN > los VPN statistics (Estadísticas de la VPN) > las sesiones para conocer a las sesiones en curso en el ASA.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

  • <username>-Command del nombre del cierre de sesión de VPN-sessiondb para terminar una sesión a la sesión de VPN SSL para el nombre de usuario determinado.
    ciscoasa#vpn-sessiondb logoff name ssluser1
    Do you want to logoff the VPN session(s)? [confirm] Y
    INFO: Number of sessions with name "ssluser1" logged off : 1

    ciscoasa#Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0xB000)

    Semejantemente, usted puede utilizar el comando del anyconnect del cierre de sesión de VPN-sessiondb para terminar todas las sesiones de AnyConnect.

  • haga el debug del anyconnect <1-255>-Provides del webvpn los eventos en tiempo real del webvpn para establecer la sesión.
    Ciscoasa#debug webvpn anyconnect 7
    CSTP state = HEADER_PROCESSING
    http_parse_cstp_method()
    ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'Host: 10.198.16.132'
    Processing CSTP header line: 'Host: 10.198.16.132'
    webvpn_cstp_parse_request_field()
    ...input: 'User-Agent: Cisco AnyConnect VPN Agent for Windows 3.1.05152'
    Processing CSTP header line: 'User-Agent: Cisco AnyConnect VPN Agent for Windows
    3.1.05152'
    Setting user-agent to: 'Cisco AnyConnect VPN Agent for Windows 3.1.05152'
    webvpn_cstp_parse_request_field()
    ...input: 'Cookie: webvpn=146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    Processing CSTP header line: 'Cookie: webvpn=
    146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    Found WebVPN cookie: 'webvpn=146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    WebVPN Cookie: 'webvpn=146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Version: 1'
    Processing CSTP header line: 'X-CSTP-Version: 1'
    Setting version to '1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Hostname: WCRSJOW7Pnbc038'
    Processing CSTP header line: 'X-CSTP-Hostname: WCRSJOW7Pnbc038'
    Setting hostname to: 'WCRSJOW7Pnbc038'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-MTU: 1280'
    Processing CSTP header line: 'X-CSTP-MTU: 1280'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Address-Type: IPv6,IPv4'
    Processing CSTP header line: 'X-CSTP-Address-Type: IPv6,IPv4'
    webvpn_cstp_parse_request_field()
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Base-MTU: 1300'
    Processing CSTP header line: 'X-CSTP-Base-MTU: 1300'
    webvpn_cstp_parse_request_field()
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Full-IPv6-Capability: true'
    Processing CSTP header line: 'X-CSTP-Full-IPv6-Capability: true'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Master-Secret: F1810A764A0646376F7D254202A0A602CF075972F91EAD1
    9BB6BE387BB8C6F893BFB49886D47F9A4BE2EA2A030BF620D'
    Processing CSTP header line: 'X-DTLS-Master-Secret: F1810A764A0646376F7D254202A0
    A602CF075972F91EAD19BB6BE387BB8C6F893BFB49886D47F9A4BE2EA2A030BF620D'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
    Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3
    -SHA:DES-CBC-SHA'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Accept-Encoding: lzs'
    Processing CSTL header line: 'X-DTLS-Accept-Encoding: lzs'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Header-Pad-Length: 0'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Accept-Encoding: lzs,deflate'
    Processing CSTP header line: 'X-CSTP-Accept-Encoding: lzs,deflate'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Protocol: Copyright (c) 2004 Cisco Systems, Inc.'
    Processing CSTP header line: 'X-CSTP-Protocol: Copyright (c) 2004 Cisco Systems, Inc.'
    Validating address: 0.0.0.0
    CSTP state = WAIT_FOR_ADDRESS
    webvpn_cstp_accept_address: 192.168.10.1/255.255.255.0
    webvpn_cstp_accept_ipv6_address: No IPv6 Address
    CSTP state = HAVE_ADDRESS
    SVC: Sent gratuitous ARP for 192.168.10.1.
    SVC: NP setup
    np_svc_create_session(0x5000, 0xa930a180, TRUE)
    webvpn_svc_np_setup
    SVC ACL Name: NULL
    SVC ACL ID: -1
    vpn_put_uauth success for ip 192.168.10.1!
    No SVC ACL
    Iphdr=20 base-mtu=1300 def-mtu=1500 conf-mtu=1406
    tcp-mss = 1260
    path-mtu = 1260(mss)
    mtu = 1260(path-mtu) - 0(opts) - 5(ssl) - 8(cstp) = 1247
    tls-mtu = 1247(mtu) - 20(mac) = 1227
    DTLS Block size = 16
    mtu = 1300(base-mtu) - 20(ip) - 8(udp) - 13(dtlshdr) - 16(dtlsiv) = 1243
    mod-mtu = 1243(mtu) & 0xfff0(complement) = 1232
    dtls-mtu = 1232(mod-mtu) - 1(cdtp) - 20(mac) - 1(pad) = 1210
    computed tls-mtu=1227 dtls-mtu=1210 conf-mtu=1406
    DTLS enabled for intf=2 (outside)
    tls-mtu=1227 dtls-mtu=1210
    SVC: adding to sessmgmt

    Unable to initiate NAC, NAC might not be enabled or invalid policy
    CSTP state = CONNECTED
    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got internal message
    Unable to initiate NAC, NAC might not be enabled or invalid policy
  • En ASDM, elija Monitoring > Logging > Real-time Log Viewer > View para ver los eventos en tiempo real. Este ejemplo muestra la información de la sesión entre el AnyConnect 192.168.10.1 y servidor Telnet 10.2.2.2 en Internet vía ASA 172.16.1.1.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 100918