Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Клиент VPN и доступ клиента AnyConnect к Примеру конфигурации локальной сети

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (25 мая 2008) | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как позволить Cisco VPN Client или защищенному мобильному клиенту Cisco AnyConnect Secure Mobility только обращаться к их локальной сети, в то время как туннелировано в устройство адаптивной защиты Cisco (ASA) серия 5500 или ASA, серии 5500-X. Эта конфигурация позволяет клиенты Cisco VPN или безопасный доступ защищенного мобильного клиента Cisco AnyConnect Secure Mobility к корпоративным ресурсам через IPSec, Уровень защищенных сокетов (SSL) или вторую версию протокола Internet Key Exchange (IKEv2) и все еще дает клиенту возможность выполнить действия, такие как печать, где расположен клиент. Если это разрешено, трафик, предназначенный для Интернета, все еще туннелирован к ASA.

Примечание: Эта конфигурация не является настройкой раздельного туннелирования, при которой клиент обладает нешифрованным доступом к Интернету, оставаясь подключенным к ASA или PIX. Дополнительные сведения см. в разделе PIX/ASA 7.x: Позвольте Разделенное туннелирование для Клиентов VPN на Примере конфигурации ASA для получения информации о том, как настроить разделенное туннелирование на ASA.

Внесенный Густаво Мединой и Атри Базу, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Этот документ предполагает, что функциональная конфигурация VPN для удаленного доступа уже существует на ASA.

Обратитесь к PIX/ASA 7.x как Удаленный VPN-сервер с помощью Примера конфигурации ASDM для Cisco VPN Client , если вы уже не настроены.

Обратитесь к ASA 8.x Доступ VPN с Примером конфигурации VPN-клиента SSL (SVC) AnyConnect для защищенного мобильного клиента Cisco AnyConnect Secure Mobility , если вы уже не настроены.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия 9 (2) 1 серии 5500 Cisco ASA
  • Cisco Adaptive Security Device Manager (ASDM) версия 7.1 (6)
  • Версия клиентской части Cisco VPN 5.0.07.0440
  • Версия 3.1.05152 защищенного мобильного клиента Cisco AnyConnect Secure Mobility

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Схема сети

Клиент расположен в типичной сети Small Office / Home Office (SOHO) и подключениях по Интернету к главному офису.

Общие сведения

В отличие от классического сценария раздельного туннелирования, в котором весь трафик Интернета отправляется нешифрованным, при разрешении доступа к локальной сети для VPN-клиентов, таким клиентам разрешается обмениваться нешифрованными данными только с устройствами из сети клиента., Например, клиент, которому разрешают доступ к локальной сети, в то время как связано с ASA из дома, в состоянии распечатать к его собственному принтеру, но не обратиться к Интернету без первой передачи трафика по туннелю.

Список доступа используется, чтобы разрешить доступ к локальной сети подобно тому, как в устройстве ASA настраивается раздельное туннелирование. Однако вместо определения сетей, которые должны шифроваться, в данном случае список доступа определяет сети, которые не должны шифроваться.   Кроме того, в отличие от сценария раздельного туннелирования, в таком списке не требуется указывать действительные сети. Вместо этого ASA предоставляет сеть по умолчанию 0.0.0.0/255.255.255.255, который, как понимают, означает локальную сеть клиента.

Примечание: Когда клиент связан и настроен для доступа к локальной сети, вы не можете распечатать или перейти по имени на локальной сети. Однако имеется возможность просмотра или печати по IP-адресу. Посмотрите  раздел Устранения неполадок этого документа для получения дополнительной информации, а также обходных путей для этой ситуации.

Настройте доступ к локальной сети для клиентов VPN или клиента Secure Mobility Client AnyConnect

Выполните эти задачи для разрешения доступа клиентов Cisco VPN или защищенных мобильных клиентов Cisco AnyConnect Secure Mobility к их локальной сети, в то время как связано с ASA:

Настройте ASA через ASDM

Выполните эти шаги в ASDM, чтобы позволить Клиентам VPN иметь доступ к локальной сети, в то время как связано с ASA:

  1. Выберите Configuration> Remote Access VPN > Network (Client) Access> Group Policy и выберите Group Policy, в котором вы хотите включить доступ к локальной сети. Затем нажмите Edit.



  2. Перейдите Усовершенствованный> Разделенное туннелирование.



  3. Снимите Наследовать флажок для Политики и выберите Exclude Network List Below.



  4. Снимите Наследовать флажок для Списка сети и затем нажмите Manage для запуска Менеджера Списка контроля доступа (ACL).



  5.  В данном диспетчере выберите Добавить > Добавить список ACL..., чтобы создать новый список контроля доступа. 



  6.  Укажите имя ACL и нажмите кнопку OK.



  7.  После создания списка ACL выберите Добавить > Добавить ACE..., чтобы добавить элемент контроля доступа (ACE). 



  8. Определите элемент контроля доступа, соответствующий локальной сети клиента.

    1. Выберите Permit.
    2. Выберите IP-адрес 0.0.0.0
    3. Выберите маску подсети /32.
    4. Введите описание (необязательно). 
    5.  Нажмите кнопку ОК.



  9.  Нажмите кнопку OK, чтобы завершить работу с приложением ACL Manager. 



  10. Убедитесь, что ACL, который вы просто создали, выбран для Списка сети Разделения туннеля.



  11.  Нажмите кнопку OK, чтобы вернуться к настройке групповой политики. 



  12.  Нажмите кнопку Apply и затем (если потребуется) Send, чтобы отправить эти команды в модуль ASA.   

Настройка ASA с помощью CLI

Разрешить VPN-клиентам доступ к локальной сети при наличии подключения к ASA можно не только при помощи ASDM, но и посредством интерфейса командной строки устройства ASA:

  1. Вход в режим конфигурации.

    ciscoasa>enable
    Password:
    ciscoasa#configure terminal
    ciscoasa(config)#


  2. Создайте список доступа для разрешения доступа к локальной сети.

    ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
    ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0


  3. Введите режим конфигурации Групповой политики для политики, которую вы хотите модифицировать.

    ciscoasa(config)#group-policy hillvalleyvpn attributes
    ciscoasa(config-group-policy)#


  4. Укажите политику раздельных туннелей. В этом случае политика является excludespecified.

    ciscoasa(config-group-policy)#split-tunnel-policy excludespecified


  5. Укажите список доступа к разделенным туннелям. В этом случае список является Local_LAN_Access.

    ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access


  6. Введите следующую команду:

    ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes


  7. Привяжите групповую политику к туннельной группе

    ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn


  8. Выйдите из обоих режимов конфигурирования.

    ciscoasa(config-group-policy)#exit
    ciscoasa(config)#exit
    ciscoasa#


  9.  Сохраните конфигурацию в энергонезависимой памяти (NVRAM) и нажмите клавишу ВВОД, когда будет предложено указать имя файла источника. 

    ciscoasa#copy running-config startup-config

    Source filename [running-config]?
    Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a

    3847 bytes copied in 3.470 secs (1282 bytes/sec)
    ciscoasa#

Настройка Cisco VPN Client

Для разрешения клиенту доступа к локальной сети при наличии подключения к ASA выполните в VPN-клиенте следующие действия.

  1. Выберите запись текущего соединения и нажмите Modify.



  2.  Перейдите на вкладку "Transport" (Транспорт) и установите флажок Allow Local LAN Access. Затем нажмите кнопку Save. 

Настройте защищенный мобильный клиент Cisco AnyConnect Secure Mobility

Для настройки защищенного мобильного клиента Cisco AnyConnect Secure Mobility обратитесь к Устанавливанию VPN-подключения на базе SSL с разделом SVC ASA 8. x : Разрешить раздельное туннелирование для VPN Client AnyConnect на примере конфигурации ASA.

Разделение - исключает туннелирование, требует, чтобы вы включили AllowLocalLanAccess в Клиенте AnyConnect. Все разделение - исключает туннелирование, расценен как доступ к локальной сети. Для использования исключить функции раздельного туннелирования необходимо включить  предпочтение AllowLocalLanAccess в предпочтении Клиента AnyConnect VPN Client. По умолчанию доступ к локальной сети отключен. 

Чтобы позволить доступ к локальной сети, и поэтому разделиться - исключают туннелирование, администратор сети может включить его в профиле, или пользователи могут включить его в своих привилегированных параметрах настройки (см. образ в следующем разделе). Для разрешения доступа к локальной сети пользователь устанавливает Позволять флажок Доступа к локальной сети, если раздельное туннелирование включено на защищенном шлюзе и настроено с политикой раздельных туннелей, исключают заданную политику. Кроме того, если доступ к локальной сети позволен с <LocalLanAccess UserControllable = "истинный"> истинный </LocalLanAccess>, можно настроить Профиль Клиента VPN.

Предпочтения пользователя

Вот выборы, которые необходимо сделать во вкладке Preferences на защищенном мобильном клиенте Cisco AnyConnect Secure Mobility для разрешения доступа к локальной сети.

Пример профиля XML

Вот пример того, как настроить Профиль Клиента VPN с XML.

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic
</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
</AnyConnectProfile>

Проверка.

Выполните шаги в этих разделах для подтверждения конфигурации.

Подключение с клиентом VPN или клиентом Secure Mobility Client

Подключите Клиент VPN с ASA для подтверждения конфигурации.

  1.  Выберите из списка запись своего подключения и нажмите Connect.



  2. Выберите Status> Statistics... для показа окна Tunnel Details, где можно осмотреть подробные сведения туннеля и видеть трафик. Также в разделе "Transport" (Транспорт) можно увидеть, что локальная сеть включена.



  3. Нажмите вкладку Route Details для наблюдения маршрутов, к которым у Клиента VPN все еще есть локальный доступ.

    В данном примере VPN-клиенту разрешен доступ к локальной сети по адресу 192.168.0.0/24, тогда как весь остальной трафик шифруется и отправляется через туннель.

Подключите защищенный мобильный клиент Cisco AnyConnect Secure Mobility с ASA для подтверждения конфигурации.

  1. Выберите соединение из списка серверов и нажмите Connect.



  2. Выберите Advanced Window for All Components>  Statistics... для показа Туннельного режима. 



  3. Нажмите вкладку Route Details для наблюдения маршрутов, к которым защищенный мобильный клиент Cisco AnyConnect Secure Mobility все еще имеет локальный доступ.

    В то время как весь другой трафик зашифрован и передан по туннелю, в данном примере клиенту разрешают доступ к локальной сети к 10.150.52.0/22 и 169.254.0.0/16.

Просмотрите журнал клиента VPN или DART для клиента Secure Mobility Client

При просмотре журнала VPN-клиента можно определить, установлен ли параметр, разрешающий доступ к локальной сети. Для просмотра журнала нажмите вкладку Log в Клиенте VPN. Затем нажмите Log Settings для регулировки то, что зарегистрировано. В данном примере параметру IKE задано значение 3- High (3- высокий), всем остальным элементам журнала — 1 - Low (1- низкий).  

Cisco Systems VPN Client Version 5.0.07.0440
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 6.1.7601 Service Pack 2

1 14:20:09.532 07/27/06 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.


!--- Output is supressed


18 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005D
Client sending a firewall request to concentrator

19 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client,
Capability= (Centralized Protection Policy).

20 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent,
Capability= (Are you There?).

21 14:20:14.208 07/03/14 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23 14:20:14.208 07/03/14 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems,
Inc ASA5510 Version 9.2(1) built by root on Wed 2-Jun-14 14:45

!--- Local LAN access is permitted and the local LAN is defined.

29 14:20:14.238 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets),
value = 0x00000001

30 14:20:14.238 07/03/14 Sev=Info/5 IKE/0x6300000F
LOCAL_NET #1
subnet = 192.168.0.0
mask = 255.255.255.0
protocol = 0
src port = 0
dest port=0

!--- Output is supressed.

Защищенный мобильный клиент Cisco AnyConnect Secure Mobility

При исследовании журналов AnyConnect от связки (bundle) Диагностики и средства создания отчетов (DART) можно определить, установлен ли параметр, который позволяет доступ к локальной сети.

******************************************

Date : 11/25/2011
Time : 13:01:48
Type : Information
Source : acvpndownloader

Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP:
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains:
TrustedDNSServers:
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true



******************************************

Проверка доступа к локальной сети с помощью эхо-запроса

Дополнительный способ протестировать это, у Клиента VPN все еще есть доступ к локальной сети, в то время как туннелировано к головной станции VPN , состоит в том, чтобы использовать  команду ping в командной строке Microsoft Windows. Вот пример, где локальная сеть клиента является 192.168.0.0/24, и другой хост присутствует в сети с IP-адресом 192.168.0.3.

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data&colon;

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Невозможность печати или просмотра по имени

 Когда VPN-клиент подключен и настроен для доступа к локальной сети, в данной сети печать или просмотр по имени невозможны. Имеется два пути обхода такой ситуации:

  • Просмотр или печать по IP-адресу.

    • Для просмотра, вместо синтаксиса \\sharename, используйте синтаксис \\x. x . x . x , где x. x . x . x является IP-адрес главного компьютера.

    • Для печати измените свойства для сетевого принтера для использования IP-адреса вместо названия. Например, вместо синтаксиса \\общее_имя\имя_принтера используйте \\x.x.x.x\имя_принтера, где x.x.x.x — IP-адрес.   


  • Создание и изменение файла VPN-клиента LMHOSTS. Файл LMHOSTS на Microsoft Windows PC позволяет вам создавать статические отображения между именами хоста и IP-адресами. Например, файл LMHOSTS может иметь следующее содержание:

    192.168.0.3 SERVER1192.168.0.4 SERVER2192.168.0.5 SERVER3


    В Выпуске Microsoft Windows XP Professional файл LMHOSTS расположен в %SystemRoot %\System32\Drivers\Etc. Сошлитесь на документацию microsoft или Статью базы знаний Microsoft 314108 для получения дополнительной информации.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 70847