Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Cliente VPN y acceso al cliente de AnyConnect al ejemplo de configuración del LAN local

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Abril 2015) | Comentarios

Introducción

Este documento describe cómo permitir que el Cliente Cisco VPN o el Cliente de movilidad Cisco AnyConnect Secure acceda solamente su LAN local mientras que es tunneled en las 5500 Series adaptantes de un dispositivo de seguridad de Cisco (ASA) o las 5500-X Series ASA. Esta configuración permite los Clientes Cisco VPN o el acceso seguro del Cliente de movilidad Cisco AnyConnect Secure a los recursos corporativos vía el IPSec, Secure Sockets Layer (SSL), o el intercambio de claves de Internet versión 2 (IKEv2) y todavía da a cliente la capacidad de realizar las actividades tales como impresión donde localizan al cliente. Si se permite, el tráfico destinado para el Internet es todavía tunneled al ASA.

Nota: Esto no es una configuración para el Túnel dividido, donde el cliente tiene acceso unencrypted a Internet mientras que está conectado con el ASA o el PIX. Consulte PIX/ASA 7.x: Permita el Túnel dividido para los clientes VPN en el ejemplo de configuración ASA para la información sobre cómo configurar el Túnel dividido en el ASA.

Contribuido por el Medina y Atri Basu de Gustavo, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Este documento asume que una configuración funcional del VPN de acceso remoto existe ya en el ASA.

Refiera al PIX/ASA 7.x como servidor VPN remoto usando el ejemplo de la Configuración de ASDM para el Cliente Cisco VPN si uno no se configura ya.

Refiera al acceso ASA 8.x VPN con el ejemplo de configuración del cliente VPN de AnyConnect SSL para el Cliente de movilidad Cisco AnyConnect Secure si uno no se configura ya.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 9(2)1 de las 5500 Series de Cisco ASA
  • Versión 7.1(6) del Cisco Adaptive Security Device Manager (ASDM)
  • Cliente VPN de Cisco versión 5.0.07.0440
  • Versión 3.1.05152 del Cliente de movilidad Cisco AnyConnect Secure

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Diagrama de la red

El cliente está situado en una red típica del small office/home office (SOHO) y conecta a través de Internet con la oficina principal.

Antecedentes

A diferencia de un escenario clásico del Túnel dividido en el cual todo el tráfico de Internet se envíe unencrypted, cuando usted habilita el acceso del LAN local para los clientes VPN, permite que esos clientes comuniquen unencrypted con solamente los dispositivos en la red en la cual él está situada. Por ejemplo, un cliente que no se prohibe el acceso del LAN local mientras que está conectado con el ASA del hogar puede imprimir a su propia impresora pero no acceder Internet sin primero el envío del tráfico sobre el túnel.

Una lista de acceso se utiliza para permitir el acceso del LAN local más o menos de la misma manera que el Túnel dividido esté configurado en el ASA. Sin embargo, en vez de definir qué redes deben ser cifradas, la lista de acceso en este caso define qué redes no deben ser cifradas. También, a diferencia del escenario del Túnel dividido, las redes reales en la lista no necesitan ser conocidas. En lugar, el ASA suministra una red predeterminada de 0.0.0.0/255.255.255.255, que se entiende para significar el LAN local del cliente.

Nota: Cuando el cliente está conectado y configurado para el acceso del LAN local, usted no puede imprimir u hojear por nombre en el LAN local. Sin embargo, usted puede hojear o imprimir por la dirección IP. Vea la sección del Troubleshooting de este documento para más información así como de las soluciones alternativas para esta situación.

Configure el acceso del LAN local para los clientes VPN o el cliente seguro de la movilidad de AnyConnect

Complete estas tareas para permitir el acceso de los Clientes Cisco VPN o de Clientes de movilidad Cisco AnyConnect Secure a su LAN local mientras que está conectado con el ASA:

Configure el ASA vía el ASDM

Complete estos pasos en el ASDM para permitir que los clientes VPN tengan acceso del LAN local mientras que está conectado con el ASA:

  1. Elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > la directiva del grupo y seleccione la directiva del grupo en la cual usted desea habilitar el acceso del LAN local. Entonces haga clic editan.



  2. Va a avanzado > el Túnel dividido.



  3. Desmarque el cuadro de la herencia para la directiva y elija excluyen la lista de red abajo.



  4. Desmarque el cuadro de la herencia para la lista de red y después haga clic manejan para iniciar al administrador de la lista de control de acceso (ACL).



  5. Dentro del Administrador de ACL, elija Add > Add ACL... para crear una nueva lista de acceso.



  6. Asigne un nombre al ACL y haga clic en OK.



  7. Una vez que se crea el ACL, elija agregan > Add ACE… para agregar una Entrada de control de acceso (ACE).



  8. Defina ACE que corresponde al LAN local del cliente.

    1. Elija el permiso.
    2. Elija una dirección IP de 0.0.0.0
    3. Elija un netmask de /32.
    4. (Opcional) proporcione una descripción.
    5. Haga clic en OK.



  9. Haga clic en OK para salir del Administrador de ACL.



  10. Esté seguro que el ACL que usted acaba de crear está seleccionado para la lista de red del túnel dividido.



  11. Haga clic en OK para volver a la configuración de la Política de Grupo.



  12. Haga clic se aplican y después envían (si procede) para enviar los comandos al ASA.

Configure el ASA vía el CLI

Bastante que el ASDM, usted puede completar estos pasos en el ASA CLI para permitir que los clientes VPN tengan acceso del LAN local mientras que está conectado con el ASA:

  1. Ingrese al modo de configuración.

    ciscoasa>enable
    Password:
    ciscoasa#configure terminal
    ciscoasa(config)#


  2. Cree la lista de acceso para permitir el acceso del LAN local.

    ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
    ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0


  3. Ingrese el modo de la configuración de la política del grupo para la directiva que usted desea modificar.

    ciscoasa(config)#group-policy hillvalleyvpn attributes
    ciscoasa(config-group-policy)#


  4. Especifique la directiva del túnel dividido. En este caso, la directiva excludespecified.

    ciscoasa(config-group-policy)#split-tunnel-policy excludespecified


  5. Especifique la lista de acceso del túnel dividido. En este caso, la lista es Local_LAN_Access.

    ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access


  6. Ejecutar este comando:

    ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes


  7. Asocie la política del grupo al grupo de túnel

    ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn


  8. Dé salida a los dos modos de configuración.

    ciscoasa(config-group-policy)#exit
    ciscoasa(config)#exit
    ciscoasa#


  9. Salve la configuración al RAM no volátil (NVRAM) y al Presione ENTER cuando está indicado para especificar el nombre de archivo de origen.

    ciscoasa#copy running-config startup-config

    Source filename [running-config]?
    Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a

    3847 bytes copied in 3.470 secs (1282 bytes/sec)
    ciscoasa#

Configure al Cliente Cisco VPN

Complete estos pasos en el cliente VPN para permitir que el cliente tenga acceso del LAN local mientras que está conectado con el ASA.

  1. Elija su entrada de la conexión actual y el tecleo se modifica.



  2. Vaya a la ficha del transportador y el control permite el acceso del LAN local. Salvaguardia del tecleo cuando le hacen.

Configure al Cliente de movilidad Cisco AnyConnect Secure

Para configurar al Cliente de movilidad Cisco AnyConnect Secure, refiera al establecimiento la conexión VPN SSL con la sección de SVC de ASA 8.x: Permita el Túnel dividido para el cliente VPN de AnyConnect en el ejemplo de configuración ASA.

Fractura-excluya el Tunelización requiere que usted habilita AllowLocalLanAccess en el cliente de AnyConnect. Todos fractura-excluyen el Tunelización se miran como acceso del LAN local. Para utilizar la característica de la exclusión del Túnel dividido, usted debe habilitar la preferencia de AllowLocalLanAccess en las preferencias del cliente VPN de AnyConnect. Por abandono, se inhabilita el acceso del LAN local. 

Para permitir el acceso del LAN local, y por lo tanto fractura-excluir el Tunelización, un administrador de la red puede habilitarlo en el perfil o los usuarios pueden habilitarlo en sus configuraciones de las preferencias (véase la imagen en la siguiente sección). Para permitir el acceso del LAN local, un usuario selecciona el cuadro de verificación de acceso del LAN local de la permit si el Túnel dividido se habilita en el gateway seguro y se configura con la fractura-túnel-directiva excluye la directiva especificada. Además, usted puede configurar el perfil del cliente VPN si el acceso del LAN local se permite con los <LocalLanAccess UserControllable= >true</LocalLanAccess> " verdadero ".

Preferencias del usuario

Aquí están las selecciones que usted debe hacer en la lengueta de las preferencias en el Cliente de movilidad Cisco AnyConnect Secure para permitir el acceso del LAN local.

Ejemplo del perfil XML

Aquí está un ejemplo de cómo configurar el perfil del cliente VPN con el XML.

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic
</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
</AnyConnectProfile>

Verificación

Complete los pasos en estas secciones para verificar su configuración.

Conecte con el cliente VPN o el cliente seguro de la movilidad

Conecte a su cliente VPN con el ASA para verificar su configuración.

  1. Elija su Entrada de conexión de la lista y el tecleo conecta.



  2. Elija el estatus > las estadísticas… para visualizar la ventana de los detalles del túnel donde usted puede examinar los detalles del túnel y ver el flujo de tráfico. Usted puede también ver que el LAN local está habilitado en la sección del transporte.



  3. Haga clic la lengueta de los detalles de la ruta para ver las rutas a las cuales el cliente VPN todavía tiene Acceso local.

    En este ejemplo, no prohiben el cliente VPN el acceso del LAN local a 192.168.0.0/24 mientras que el resto del tráfico se cifra y se envía a través del túnel.

Conecte a su Cliente de movilidad Cisco AnyConnect Secure con el ASA para verificar su configuración.

  1. Elija su Entrada de conexión de la lista de servidores y el tecleo conecta.



  2. Elija la ventana avanzada para todos los componentes > las estadísticas… para visualizar al modo túnel. 



  3. Haga clic la lengueta de los detalles de la ruta para ver las rutas a las cuales el Cliente de movilidad Cisco AnyConnect Secure todavía tiene Acceso local.

    En este ejemplo, no prohiben el cliente el acceso del LAN local a 10.150.52.0/22 y a 169.254.0.0/16 mientras que el resto del tráfico se cifra y se envía a través del túnel.

Vea el registro de cliente de VPN o el DARDO para el cliente seguro de la movilidad

Cuando usted examina el registro de cliente de VPN, usted puede determinar independientemente de si el parámetro que permite el acceso del LAN local está fijado. Para ver el registro, haga clic la lengueta del registro en el cliente VPN. Entonces haga clic las configuraciones de registro para ajustar se registra qué. En este ejemplo, el IKE se fija a 3 altos mientras que el resto de los elementos del registro se fijan a 1 - punto bajo.

Cisco Systems VPN Client Version 5.0.07.0440
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 6.1.7601 Service Pack 2

1 14:20:09.532 07/27/06 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.


!--- Output is supressed


18 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005D
Client sending a firewall request to concentrator

19 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client,
Capability= (Centralized Protection Policy).

20 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent,
Capability= (Are you There?).

21 14:20:14.208 07/03/14 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23 14:20:14.208 07/03/14 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems,
Inc ASA5510 Version 9.2(1) built by root on Wed 2-Jun-14 14:45

!--- Local LAN access is permitted and the local LAN is defined.

29 14:20:14.238 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets),
value = 0x00000001

30 14:20:14.238 07/03/14 Sev=Info/5 IKE/0x6300000F
LOCAL_NET #1
subnet = 192.168.0.0
mask = 255.255.255.0
protocol = 0
src port = 0
dest port=0

!--- Output is supressed.

Cliente de movilidad Cisco AnyConnect Secure

Cuando usted examina los registros de AnyConnect de los diagnósticos y la herramienta de informe (DARDO) lía, usted puede determinar independientemente de si el parámetro que permite el acceso del LAN local está fijado.

******************************************

Date : 11/25/2011
Time : 13:01:48
Type : Information
Source : acvpndownloader

Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP:
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains:
TrustedDNSServers:
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true



******************************************

Pruebe el acceso del LAN local con el ping

Una manera adicional de probar que el cliente VPN todavía tiene acceso del LAN local mientras que es tunneled a la cabecera VPN debe utilizar el comando ping en la línea de comando de Microsoft Windows. Aquí está un ejemplo donde está 192.168.0.0/24 el LAN local del cliente y otro host está presente en la red con una dirección IP de 192.168.0.3.

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data&colon;

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

Incapaz de imprimir o de hojear por nombre

Cuando el cliente VPN está conectado y configurado para el acceso del LAN local, usted no puede imprimir u hojear por nombre en el LAN local. Hay dos opciones disponibles para trabajar alrededor de esta situación:

  • Hojee o imprima por la dirección IP.

    • Para hojear, en vez del \ \ sharename del sintaxis, utilice \ \ x.x.x.x del sintaxis donde está la dirección IP x.x.x.x de la computadora host.

    • Para imprimir, cambie las propiedades para la impresora de red para utilizar una dirección IP en vez de un nombre. Por ejemplo, en vez del \ \ sharename \ printername del sintaxis, \ \ x.x.x.x \ printername del uso, donde está una dirección IP x.x.x.x.


  • Cree o modifique el archivo del cliente VPN LMHOSTS. Un archivo LMHOSTS en Microsoft Windows PC permite que usted cree las correlaciones estáticas entre los nombres de host y los IP Addresses. Por ejemplo, un archivo LMHOSTS pudo parecer esto:

    192.168.0.3 SERVER1192.168.0.4 SERVER2192.168.0.5 SERVER3


    En la edición profesional del Microsoft Windows XP, el archivo LMHOSTS está situado en %SystemRoot%\System32\Drivers\Etc. Refiera a su documentación de Microsoft o artículo de la base de conocimiento de Microsoft 314108 para más información.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 70847