Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA 7.x para soportar el IPSec sobre el TCP en cualquier ejemplo de la configuración del puerto

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo configurar sesiones VPN de acceso remoto entre un firewall PIX y clientes de hardware VPN. Esta configuración de muestra ilustra una configuración para IPSec sobre TCP en cualquier puerto. Esta característica se introduce en la versión de PIX 7.x.

El comando port de IPSec-sobre-TCP del isakmp permite al PIX para conectar con un software de Cisco VPN y un hardware cliente en cualquier puerto para el IPSec sobre el TCP.

Refiera al VPN 3002 Hardware Client al ejemplo de configuración PIX 6.x para aprender un escenario más casi igual donde el dispositivo de seguridad PIX funciona con la versión de software 6.x.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Las necesidades del firewall PIX de ejecutar versión del código 7.0 o más adelante.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 7.0.4 del PIX 515

  • Cliente de hardware Cisco VPN 3002 4.7.2

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Este documento se puede también utilizar con el dispositivo de seguridad adaptante de las Cisco 5500 Series (ASA) esa versión de software 7.0 de los funcionamientos y posterior.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/68326/pix7x-ipsec-tcp-anyport-1.gif

Configuraciones

En este documento, se utilizan estas configuraciones:

PIX 7.x
PIX Version 7.0(4)
!
hostname pix
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 speed 10
 nameif outside
 security-level 0
 ip address 172.30.200.1 255.255.0.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.16.5.10 255.255.0.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
!
access-list nonat extended permit ip 172.16.0.0 255.255.0.0 any
access-list outside extended permit icmp any any
access-list OUT extended permit ip any any
!
nat (inside) 0 access-list nonat
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 172.30.200.2 1
!

!--- Output is suppressed.

group-policy DfltGrpPolicy attributes
 banner none
 wins-server none
 dns-server none
 dhcp-network-scope none
 vpn-access-hours none
 vpn-simultaneous-logins 3
 vpn-idle-timeout 30
 vpn-session-timeout none
 vpn-filter none
 vpn-tunnel-protocol IPSec

!--- This specifies the VPN protocol used by this group. 
!--- The two options are IPsec and WebVPN. IPsec is configured for this example. 

 password-storage enable

!--- This allows the users to store passwords on VPN Client devices. 
!--- Password storage is disabled by default for security reasons. 
!--- Enable password storage only on systems that you know to be in secure sites.

 ip-comp disable
 re-xauth disable
 group-lock none
 pfs disable
 ipsec-udp disable
 ipsec-udp-port 10000
 split-tunnel-policy tunnelall
 split-tunnel-network-list none
 default-domain none
 split-dns none
 secure-unit-authentication disable
 user-authentication disable
 user-authentication-idle-timeout 30
 ip-phone-bypass disable
 leap-bypass disable
 nem enable

!--- Enter the nem command with the enable keyword in 
!--- group-policy configuration mode to enable network 
!--- extension mode for hardware clients. 
!--- This is disabled by default.

 backup-servers keep-client-config
 client-firewall none
 client-access-rule none
 
!--- Refer to Group Policies for more information.

!
crypto ipsec transform-set my-set esp-3des esp-md5-hmac
crypto dynamic-map dyn_outside 20 set transform-set my-set
crypto map mymap 20 ipsec-isakmp dynamic dyn_outside
crypto map mymap interface outside

!--- These are the IPsec parameters that are 
!--- negotiated with the client. In this example, dynamic maps are 
!--- used since the client IP address is not known.

isakmp enable outside
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400

!--- These are the Phase 1 parameters negotiated by the two peers.

isakmp ipsec-over-tcp port 10000

!--- Use the isakmp ipsec-over-tcp command 
!--- in global configuration mode to enable IPsec over TCP.

tunnel-group DefaultRAGroup general-attributes

!--- A tunnel group consists of a set of records that 
!--- contain tunnel connection policies. The two attributes 
!--- are General and IPsec. 

 authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *
: end 

VPN 3002 Hardware Client de Cisco

Complete estos pasos:

  1. Seleccione el Configuration (Configuración) > Interfaces (Interfaces) para configurar la dirección IP para ambas interfaces.

    En este ejemplo la interfaz pública tiene un direccionamiento dinámicamente asignado:

    /image/gif/paws/68326/pix7x-ipsec-tcp-anyport-2.gif

  2. Seleccione el Configuration (Configuración) > System (Sistema) > Tunneling Protocols (Protocolos de tunelización) > IPSec para configurar los parámetros relevantes al túnel IPsec.

    Aseegurele seleccionar el IPSec sobre el TCP y configurar el número del mismo puerto similar al que está configurado en el PIX. Este ejemplo utiliza el puerto 10000.

    El nombre del grupo del túnel y de la contraseña también se configura en este ejemplo. Esto se requiere solamente en el caso de las claves previamente compartidas, esto no se requiere si usted utiliza los Certificados. El nombre del grupo es DefaultRAGroup en este ejemplo.

    pix7x-ipsec-tcp-anyport-3.gif

  3. Inhabilite la PALMADITA para configurar el túnel IPsec en el Modo de ampliación de la red (NEM). Seleccione el Configuration (Configuración) > Policy Management (Administración de políticas) > Traffic Management (Administración de tráfico) > la PALMADITA > el permiso.

    El NEM permite que los hardwares cliente presenten un solo, red enrutable a la red privada remota sobre el túnel VPN. El IPSec encapsula todo el tráfico de la red privada detrás del hardware cliente a las redes detrás del dispositivo de seguridad.

    pix7x-ipsec-tcp-anyport-4.gif

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Verifique la configuración PIX 7.x

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • show crypto isakmp sa : muestra todas las asociaciones de seguridad actuales IKE (SA) en un par. AM_ACTIVE el estado denota que utilizaron al modo agresivo para configurar el túnel del IPSec VPN.

    pix#show crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 10.1.1.5
        Type    : user            Role    : responder
        Rekey   : no              State   : AM_ACTIVE
    
  • show crypto ipsec sa — Muestra la configuración actual utilizada por las SA actuales Verifique la dirección IP par, las redes accesibles en los extremos remotos y locales y la transformación fijada que se utiliza. Hay dos ESP SA, uno en cada dirección.

    pix#show crypto ipsec sa
    interface: outside
        Crypto map tag: dyn_outside, seq num: 20, local addr: 172.30.200.1
    
          local ident (addr/mask/prot/port): (172.30.200.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (10.1.1.5/255.255.255.255/0/0)
          current_peer: 10.1.1.5, username: DefaultRAGroup
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 172.30.200.1/10000, remote crypto endpt.: 10.1.1.5/19
    007
          path mtu 1500, ipsec overhead 96, media mtu 1500
          current outbound spi: 3B091B02
    
        inbound esp sas:
          spi: 0x4B73C095 (1265877141)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28607
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x3B091B02 (990452482)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28605
             IV size: 8 bytes
             replay detection support: Y
    
        Crypto map tag: dyn_outside, seq num: 20, local addr: 172.30.200.1
    
          local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
          remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
          current_peer: 10.1.1.5, username: DefaultRAGroup
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 15, #pkts decrypt: 15, #pkts verify: 15
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 172.30.200.1/10000, remote crypto endpt.: 10.1.1.5/19
    007
          path mtu 1500, ipsec overhead 96, media mtu 1500
          current outbound spi: 02E893BC
    
        inbound esp sas:
          spi: 0x67593523 (1733899555)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28609
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x02E893BC (48796604)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28609
             IV size: 8 bytes
             replay detection support: Y
  • muestre el stat crypto de IPSec-sobre-TCP del isakmp — Utilice este comando de marcar el IPSec sobre los parámetros TCP.

    pix#show crypto isakmp ipsec-over-tcp stat
    
    Global IPSec over TCP Statistics
    --------------------------------
    Embryonic connections: 0
    Active connections: 1
    Previous connections: 80
    Inbound packets: 803
    Inbound dropped packets: 0
    Outbound packets: 540
    Outbound dropped packets: 0
    RST packets: 87
    Recevied ACK heart-beat packets: 7
    Bad headers: 0
    Bad trailers: 0
    Timer failures: 0
    Checksum errors: 0
    Internal errors: 0

Verifique la configuración de Cliente de hardware Cisco VPN 3002

Seleccione el Monitoring (Monitoreo) > Statistics (Estadísticas) > IPSec para verificar si el túnel ha subido en el Cliente de hardware Cisco VPN 3002. Esta ventana muestra las estadísticas para el IKE y los parámetros de IPSec:

/image/gif/paws/68326/pix7x-ipsec-tcp-anyport-5.gif

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Puerto 10000 IKE para el IPSec UDP reservado ya en la interfaz afuera

Recibió el %ASA-6-713905: Puerto 10000 IKE para el IPSec UDP reservado ya en la interfaz fuera del mensaje del registro.

Solución

Éste es un mensaje de información que puede ser ignorado con seguridad. Este mensaje de información se utiliza para no perder de vista los eventos que han ocurrido. Para más información con respecto a este mensaje, refiera a 713905.

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Los comandos debug en el PIX para los túneles VPN:

  • debug crypto isakmp sa — Negociaciones ISAKMP SA de los debugs.

  • debug crypto ipsec sa — Negociaciones IPSec SA de los debugs.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 68326