Seguridad y VPN : WebVPN / SSL VPN

Tráfico del clientless SSL VPN ASA sobre el ejemplo de configuración del túnel ipsec de LAN a LAN

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios

Introducción

Este documento describe cómo conectar con un clientless adaptante SSLVPN del dispositivo de seguridad de Cisco (ASA) porta y acceder un servidor que esté situado en un lugar remoto conectado sobre un túnel ipsec de LAN a LAN.

Contribuido por los ingenieros de Cisco.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Componentes Utilizados

La información en este documento se basa en las 5500-X Series ASA que funciona con la versión 9.2(1), pero se aplica a todas las Versiones de ASA.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Asegúrese de que usted entienda el impacto potencial del comando any antes de que usted realice los cambios en una red en funcionamiento.

Antecedentes 

Cuando el tráfico de una sesión del clientless SSLVPN atraviesa un túnel de LAN a LAN, observe que hay dos conexiones:

  • Del cliente al ASA
  • Del ASA a la computadora principal de destino.

Para la conexión del host del ASA-a-destino, la dirección IP de la interfaz ASA “más cercana” a la computadora principal de destino se utiliza. Por lo tanto, el tráfico interesante del LAN a LAN debe incluir una identidad de representación de ese direccionamiento de la interfaz a la red remota.

Nota:  Si el Smart-túnel se utiliza para un marcador, la dirección IP de la interfaz ASA más cercana al destino todavía se utiliza. 

Configurar

En este diagrama, hay un túnel de LAN a LAN entre dos ASA que permite que el tráfico pase de 192.168.10.x a 192.168.20.x.

La lista de acceso que determina el tráfico interesante para ese túnel:

ASA1

access-list l2l-list extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0
255.255.255.0

ASA2

access-list l2l-list extended permit ip 192.168.20.0 255.255.255.0 192.168.10.0
255.255.255.0

  

Si el usuario del clientless SSLVPN intenta comunicar con un host en la red 192.168.20.x, ASA1 utiliza el direccionamiento de 209.165.200.225 como la fuente para ese tráfico. Porque la lista de control de acceso (ACL) del LAN a LAN no contiene 209.168.200.225 como identidad de representación, el tráfico no se envía sobre el túnel de LAN a LAN.

Para enviar el tráfico sobre el túnel de LAN a LAN, una nueva Entrada de control de acceso (ACE) se debe agregar al tráfico interesante ACL.

ASA1

access-list l2l-list extended permit ip host 209.165.200.225 192.168.20.0
255.255.255.0

ASA2

access-list l2l-list extended permit ip 192.168.20.0 255.255.255.0 host
209.165.200.225

Este mismo principio se aplica a las configuraciones donde el tráfico del clientless SSLVPN necesita el giro de 180 grados hacia fuera la misma interfaz que vino adentro encendido, incluso si no se supone para pasar a través de un túnel de LAN a LAN.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

Típicamente, ASA2 conduce el Port Address Translation (PAT) para los 192.168.20.0/24 para proporcionar el acceso a internet. En ese caso, entonces trafique a partir del 192.168.20.0/24 en ASA 2 debe ser excluido del proceso de la PALMADITA cuando va a 209.165.200.225. Si no, la respuesta no pasaría a través del túnel de LAN a LAN. Por ejemplo:   

ASA2

nat (inside,outside) source static obj-192.168.20.0 obj-
192.168.20.0 destination
static obj-209.165.200.225 obj-209.165.200.225
!
object network obj-192.168.20.0
nat (inside,outside) dynamic interface

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

La herramienta del Output Interpreter (clientes registrados solamente) soporta los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

  • el IPSec crypto de la demostración sa-verifica con este comando que han creado una asociación de seguridad (SA) entre el IP address del proxy ASA1 y la red remota. Marque si los contadores cifrados y desencriptados aumentan cuando los accesos del usuario del clientless SSLVPN que servidor.

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

Si no construyen a la asociación de seguridad, usted puede utilizar el debugging de IPSec a la causa del error:

  •  <level> del IPSec del debug crypto

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 117739