Seguridad : Cisco Adaptive Security Device Manager

ASDM y WebVPN habilitados en la misma interfaz del ASA

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo acceder el Cisco Adaptive Security Device Manager (ASDM) y el portal del WebVPN cuando ambos se habilitan en la misma interfaz del dispositivo de seguridad adaptante de las Cisco 5500 Series (ASA).

Nota: Este documento es no corresponde para el firewall PIX de las Cisco 500 Series, porque no soporta el WebVPN.

Contribuido por Atri Basu, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Componentes Utilizados

La información en este documento se basa en las Cisco 5500 Series ASA.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Problema

En las Versiones de ASA anterior que la versión 8.0(2), el ASDM y el WebVPN no se pueden habilitar en la misma interfaz del ASA, como ambos escuchan en el mismo puerto (443) por abandono. En las versiones 8.0(2) y posterior, el ASA apoya las sesiones de Secure Sockets Layer (SSL) VPN (WebVPN) del clientless y a las sesiones administrativas del ASDM simultáneamente en el puerto 443 de la interfaz exterior. Sin embargo, cuando habilitan a ambos servicios juntos, el valor por defecto URL para una interfaz particular en el ASA omite siempre el WebVPN el servicio. Por ejemplo, considere este data&colon de la configuración ASA;

rtpvpnoutbound6# show run ip
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.150.172.46 255.255.252.0
!
interface Vlan3
 nameif dmz
 security-level 50
 ip address dhcp
!
interface Vlan5
 nameif test
 security-level 0
 ip address 1.1.1.1 255.255.255.255 pppoe setroute
!
rtpvpnoutbound6# show run web
webvpn
 enable outside
 enable dmz
 anyconnect image disk0:/anyconnect-win-3.1.06078-k9.pkg 1
 anyconnect image disk0:/anyconnect-macosx-i386-3.1.06079-k9.pkg 2
 anyconnect enable
 tunnel-group-list enable
 tunnel-group-preference group-url

rtpvpnoutbound6#  show run http
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 dmz
http 0.0.0.0 0.0.0.0 outside

rtpvpnoutbound6# show run tun
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool ap_fw-policy
 authentication-server-group ldap2
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 group-url https://rtpvpnoutbound6.cisco.com/admin enable
 without-csd

Solución

Para resolver este problema, usted puede utilizar el URL apropiado para acceder el servicio respectivo o cambiar el puerto en el cual acceden a los servicios.

Nota: Una desventaja con la última solución es que el puerto está cambiado global, así que cada interfaz es afectada por el cambio.

Utilice el URL apropiado

En los datos de ejemplo de configuración proporcionados en la sección de problemas, la interfaz exterior del ASA se puede alcanzar por el HTTPS vía estos dos URL:

https://<ip-address> <=> https://10.150.172.46
https://<domain-name> <=> https://rtpvpnoutbound6.cisco.com

Sin embargo, si usted intenta acceder estos URL mientras que se habilita el servicio del WebVPN, el ASA le reorienta al portal del WebVPN:

https://rtpvpnoutbound6.cisco.com/+CSCOE+/logon.html

Para acceder el ASDM, usted puede utilizar este URL:

https://rtpvpnoutbound6.cisco.com/admin

Nota: Tal y como se muestra en de los datos de ejemplo de configuración, el grupo de túnel predeterminado tiene un grupo-URL definido con el uso del comando enable grupo-URL https://rtpvpnoutbound6.cisco.com/admin, que debe estar en conflicto con el acceso del ASDM. Sin embargo, el URL https:// <ip-address/domain>/admin es reservado para el acceso del ASDM, y si usted lo fija bajo grupo de túnel, no hay efecto. Le reorientan siempre a https:// <ip-address/domain>/admin/public/index.html.

Cambie el puerto en el cual cada servicio escucha

Esta sección describe cómo cambiar el puerto para el ASDM y los servicios del WebVPN.

Cambie el puerto para el servicio del servidor HTTPS global

Complete estos pasos para cambiar el puerto para el servicio del ASDM:

  1. Permita al servidor HTTPS para escuchar en un diverso puerto para cambiar la configuración que se relaciona con el servicio del ASDM en el ASA, como se muestra aquí:
    ASA(config)#http server enable <1-65535>

    configure mode commands/options:
    <1-65535> The management server's SSL listening port. TCP port 443 is the
    default.
    Aquí tiene un ejemplo:
    ASA(config)#http server enable 65000
  2. Después de que usted cambie la configuración del puerto predeterminado, utilice este formato para iniciar el ASDM de un buscador Web soportado en la red del dispositivo de seguridad:
    https://interface_ip_address:<customized port number>
    Aquí tiene un ejemplo:
    https://192.168.1.1:65000

Cambie el puerto para el servicio del WebVPN global

Complete estos pasos para cambiar el puerto para el servicio del WebVPN:

  1. Permita que el WebVPN escuche en un diverso puerto para cambiar la configuración que se relaciona con el servicio del WebVPN en el ASA:

    1. Habilite la característica del WebVPN en el ASA:
      ASA(config)#webvpn
    2. Habilite el servicio del WebVPN para la interfaz exterior del ASA:
      ASA(config-webvpn)#enable outside
    3. Permita que el ASA escuche el tráfico del WebVPN en el número del puerto personalizado:
      ASA(config-webvpn)#port <1-65535>

      webvpn mode commands/options:
      <1-65535> The WebVPN server's SSL listening port. TCP port 443 is the
      default.
    Aquí tiene un ejemplo:
    ASA(config)#webvpn
    ASA(config-webvpn)#enable outside
    ASA(config-webvpn)#port 65010
  2. Después de que usted cambie la configuración del puerto predeterminado, abra a un buscador Web soportado y utilice este formato para conectar con el servidor WebVPN:
    https://interface_ip_address:<customized port number>
    Aquí tiene un ejemplo:
    https://192.168.1.1:65010

Información Relacionada



Document ID: 118842