Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Ejemplo de configuración de PIX/ASA 7.x y cliente VPN para VPN de Internet pública en un solo sentido

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (26 Septiembre 2008) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Configuración
     Diagrama de la red
     Configuraciones
     Bucle interno de conexión o cambio de sentido
Verificación
     Verificación de Cisco VPN Client
Resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento describe cómo configurar PIX Firewall 7.0.1 y versiones posteriores para realizar IPSec en un solo sentido. Esta configuración se aplica a un caso específico, cuando el PIX no permite la tunelización dividida y los usuarios se conectan directamente al PIX antes de que se les permita entrar a Internet.

Nota: en la versión 7.2 y posteriores del PIX, la palabra clave intra-interface permite que todo el tráfico, no únicamente el tráfico IPSec, entre y salga en la misma interfaz.

Consulte Router and VPN Client for Public Internet on a Stick Configuration Example (Ejemplo de configuración del router y el cliente VPN para VPN de Internet pública en un solo sentido) para realizar una configuración similar en un router de sitio central.

Consulte PIX/ASA 7.x Enhanced Spoke-to-Client VPN with TACACS+ Authentication Configuration Example (Ejemplo de configuración de VPN radial a cliente mejorada con autenticación TACACS+ para PIX/ASA 7.x) para obtener más información sobre los escenarios en los que el PIX concentrador redirige el tráfico desde Cisco VPN Client al PIX radial.

Nota: para evitar la superposición de direcciones IP en la red, asigne un agrupamiento de direcciones IP completamente diferente a Cisco VPN Client (por ejemplo, 10.x.x.x, 172.16.x.x y 192.168.x.x). Este esquema de direccionamiento IP resulta útil para solucionar problemas en la red.

Requisitos previos

Requisitos

Antes de utilizar esta configuración, asegúrese de cumplir con los siguientes requisitos:

  • El dispositivo de seguridad PIX concentrador debe ejecutar la versión 7.0.1 o posterior

  • Versión 4.x de Cisco VPN Client

Componentes utilizados

La información que contiene este documento se basa en la versión 7.0.1 del dispositivo de seguridad PIX o ASA.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Configuración

En esta sección se presenta la información para configurar las funciones descritas en este documento.

Nota: emplee la herramienta de búsqueda de comandos ( sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

Este documento utiliza esta configuración de red:

pix7x-asa-client-stick-1.gif

Configuraciones

Este documento usa estas configuraciones:

PIX/ASA

PIX Version 7.0(1)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname W2N-5.6-PIX515-A
ftp mode passive

                     !--- Comando que permite que el tráfico IPSec entre y salga en la misma interfaz.
                  

                  same-security-traffic permit intra-interface
access-list 100 extended permit icmp any any echo-reply
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500

                     !--- Agrupamiento de direcciones para los clientes VPN.
                  

                  ip local pool vpnpool 192.168.10.1-192.168.10.254

no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control


                     !--- Dirección global para acceso a Internet utilizada por los clientes VPN.
!--- Nota: utiliza un rango RFC 1918 para configuración de laboratorio.
!--- Aplique una dirección desde su rango público suministrado por el ISP.

                  

                  global (outside) 1 172.18.124.166


                  
                     !--- Sentencia NAT para definir qué cifrar (direcciones del agrupamiento vpn).
                  


                  nat (outside) 1 192.168.10.0 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 10.10.10.2 10.10.10.2 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


                     !--- Configuración de la política de grupo para clientes VPN.
                  


                  group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20


                  
                     !--- Obliga a los clientes VPN a pasar por el túnel para acceder a Internet.
                  


                  split-tunnel-policy tunnelall


no snmp-server location
no snmp-server contact
snmp-server enable traps snmp


                     !--- Configuración de IPSec, fase 2.
                  


                  crypto ipsec transform-set myset esp-3des esp-sha-hmac


                  
                     !--- Configuración de la correspondencia de criptografía para los clientes VPN que se conectan a este PIX.
                  


                  crypto dynamic-map rtpdynmap 20 set transform-set myset


                  
                     !--- Vincula la correspondencia dinámica al proceso de correspondencia de criptografía.
                  


                  crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


                  
                     !--- Correspondencia de criptografía aplicada a la interfaz externa.
                  


                  crypto map mymap interface outside


                  
                     !--- Habilite ISAKMP en la interfaz externa.
                  


                  isakmp identity address
isakmp enable outside


                  
                     !--- Configuración de la política ISAKMP.
                  


                  isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0


                     !--- Configuración de grupo de túneles con información de grupo para los clientes VPN.
                  


                  tunnel-group rtptacvpn type ipsec-ra


                  
                     !--- Configuración de los parámetros de grupo para los clientes VPN.
                  


                  tunnel-group rtptacvpn general-attributes
address-pool vpnpool


                  
                     !--- Inhabilite la autenticación de usuario.
                  


                  authentication-server-group none
authorization-server-group LOCAL


                  
                     !--- Vincule los parámetros de la política de grupo al grupo de túneles para los clientes VPN.
                  


                  default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
 inspect dns maximum-length 512
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect netbios
 inspect rsh
 inspect rtsp
 inspect skinny
 inspect esmtp
 inspect sqlnet
 inspect sunrpc
 inspect tftp
 inspect sip
 inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0
: end

Nota 1: debe configurar el comando sysopt connection permit-ipsec. Se verifica si es así con el comando show running-config sysopt.

Nota 2: agregue este resultado para el transporte UDP opcional:

group-policy clientgroup attributes
vpn-idle-timeout 20
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel

Nota 3: establezca este comando en la configuración global del PIX para que los clientes VPN se conecten a través de IPSec en lugar de usar TCP:

            isakmp ipsec-over-tcp port 10000
         

Cisco VPN Client

Realice los pasos siguientes para configurar Cisco VPN Client:

  1. Seleccione Connection Entries > New.

    pix7x-asa-client-stick-2.gif

  2. Especifique la información del PIX y del grupo.

    pix7x-asa-client-stick-3.gif

  3. (Opcional) Haga clic en Enable Transparent Tunneling en la ficha Transport. (Esto es opcional y requiere la configuración adicional de PIX/ASA mencionada en la nota 2).

    pix7x-asa-client-stick-4.gif

  4. Guarde el perfil.

Bucle interno de conexión o cambio de sentido

Esta función resulta útil para el tráfico VPN que entra en una interfaz pero que a continuación se enruta fuera de ella. Por ejemplo, si tiene una red VPN de concentrador y radial en la que el dispositivo de seguridad es el concentrador y las redes VPN remotas son los radiales, para que un radial se comunique con otro, el tráfico debe entrar en el dispositivo de seguridad y, a continuación, salir hasta el otro radial.

Utilice el comando same-security-traffic para permitir que el tráfico IPSec entre y salga en la misma interfaz.

securityappliance(config)#same-security-traffic permit intra-interface
         

Verificación

Utilice esta sección para confirmar que la configuración funciona de manera adecuada.

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

  • show crypto isakmp sa: muestra todas las asociaciones de seguridad (SA) IKE actuales de un par.

  • show crypto ipsec sa: muestra todas las SA actuales. Busque los paquetes cifrados y descifrados en la SA que definen el tráfico de Cisco VPN Client.

Intente hacer ping o buscar una dirección IP pública del cliente (por ejemplo, www.cisco.com).

Nota: no se puede hacer ping en la interfaz interna del PIX para la formación de un túnel, salvo que el comando management-access se haya establecido en el modo de configuración global.

PIX1(config)#management-access inside
PIX1(config)#show management-access
management-access inside

Verificación de Cisco VPN Client

Realice los pasos siguientes para verificar Cisco VPN Client.

  1. Haga clic con el botón derecho del ratón en el icono de candado del cliente VPN presente en la bandeja del sistema después de establecer una conexión y seleccione la opción de estadísticas para ver los elementos cifrados y descifrados.

  2. Haga clic en la ficha Route Details para verificar la lista de tunelización no dividida obtenida del dispositivo.

Resolución de problemas

Actualmente, no hay información específica disponible sobre solución de problemas para esta configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 67986