Konfigurieren von ASA IKEv2 Remote Access mit EAP-PEAP und nativem Windows-Client

Download-Optionen

  • PDF     (1.0 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (680.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (806.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:17. Juli 2015
Dokument-ID:119208

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument enthält ein Konfigurationsbeispiel für eine Cisco Adaptive Security Appliance (ASA) Version 9.3.2 und höher, die es dem Remote-VPN-Zugriff ermöglicht, das Internet Key Exchange Protocol (IKEv2) mit standardmäßiger Extensible Authentication Protocol (EAP)-Authentifizierung zu verwenden. Dadurch kann ein nativer Microsoft Windows 7-Client (und jeder andere standardbasierte IKEv2-Client) mit IKEv2- und EAP-Authentifizierung eine Verbindung mit der ASA herstellen.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Grundlegende VPN- und IKEv2-Kenntnisse
    • AAA- (Basic Authentication, Authorization, and Accounting) und RADIUS-Kenntnisse
    • Erfahrung mit der ASA VPN-Konfiguration
    • Erfahrung mit der Identity Services Engine (ISE)-Konfiguration

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Microsoft Windows 7
    • Cisco ASA Software, Version 9.3.2 und höher
    • Cisco ISE, Version 1.2 und höher

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Überlegungen zum AnyConnect Secure Mobility Client

    Der native Windows IKEv2-Client unterstützt keinen Split-Tunnel (es gibt keine CONF REPLY-Attribute, die vom Windows 7-Client akzeptiert werden könnten). Daher besteht die einzig mögliche Richtlinie mit dem Microsoft-Client darin, den gesamten Datenverkehr zu tunneln (0/0-Datenverkehrsselektoren). Wenn eine bestimmte Split-Tunnel-Richtlinie erforderlich ist, sollte AnyConnect verwendet werden.

    AnyConnect unterstützt keine standardisierten EAP-Methoden, die auf dem AAA-Server terminiert werden (PEAP, Transport Layer Security). Wenn EAP-Sitzungen auf dem AAA-Server beendet werden müssen, kann der Microsoft-Client verwendet werden.

    Konfigurieren

    Anmerkung: Verwenden Sie das Command Lookup-Tool (Tool für die Suche nach Befehlen) (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

    Netzwerkdiagramm

    119208-config-asa-01

    Die ASA ist so konfiguriert, dass sie sich mit einem Zertifikat authentifiziert (der Client muss diesem Zertifikat vertrauen). Der Windows 7-Client ist für die Authentifizierung mit EAP (EAP-PEAP) konfiguriert.

    Die ASA fungiert als VPN-Gateway, das die IKEv2-Sitzung vom Client terminiert. Die ISE fungiert als AAA-Server, der die EAP-Sitzung vom Client beendet. EAP-Pakete werden in IKE_AUTH-Paketen für den Datenverkehr zwischen dem Client und der ASA (IKEv2) und anschließend in RADIUS-Paketen für den Authentifizierungsdatenverkehr zwischen der ASA und der ISE gekapselt.

    Zertifikate

    Die Microsoft Certificate Authority (CA) wurde zum Generieren des Zertifikats für die ASA verwendet. Die Zertifikatanforderungen für die Annahme durch den systemeigenen Windows 7-Client sind:

    • Die Erweiterung "Extended Key Usage" (EKU) sollte die Serverauthentifizierung enthalten (in diesem Beispiel wurde die Vorlage "Webserver" verwendet).
    • Der Subject-Name sollte den Fully Qualified Domain Name (FQDN) enthalten, der vom Client für die Verbindung verwendet wird (in diesem Beispiel ASAv.example.com).

    Weitere Informationen zum Microsoft-Client finden Sie unter Problembehandlung bei IKEv2-VPN-Verbindungen.

    Anmerkung: Android 4.x ist restriktiver und erfordert den richtigen alternativen Antragstellernamen gemäß RFC 6125. Weitere Informationen zu Android finden Sie unter IKEv2 von Android strongSwan auf Cisco IOS mit EAP- und RSA-Authentifizierung.

    Zum Generieren einer Zertifikatsignierungsanforderung auf dem ASA-Gerät wurde folgende Konfiguration verwendet:

    hostname ASAv
    domain-name example.com

    crypto ca trustpoint TP
     enrollment terminal

    crypto ca authenticate TP
    crypto ca enroll TP

    ISE

    Schritt 1: Hinzufügen der ASA zu den Netzwerkgeräten auf der ISE

    Wählen Sie Administration > Network Devices aus. Legen Sie ein vorinstalliertes Kennwort fest, das von der ASA verwendet wird.

    Schritt 2: Erstellen Sie einen Benutzernamen im lokalen Speicher.

    Wählen Sie Administration > Identitäten > Benutzer aus. Erstellen Sie den Benutzernamen, falls erforderlich.

    Alle anderen Einstellungen sind standardmäßig für die ISE aktiviert, um Endpunkte mit EAP-PEAP (Protected Extensible Authentication Protocol) zu authentifizieren.

    ASA

    Die Konfiguration für den Remote-Zugriff ist für IKEv1 und IKEv2 ähnlich.

    aaa-server ISE2 protocol radius
    aaa-server ISE2 (inside) host 10.62.97.21
     key cisco

    group-policy AllProtocols internal
    group-policy AllProtocols attributes
     vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless

    ip local pool POOL 192.168.1.10-192.168.1.20 mask 255.255.255.0

    crypto ipsec ikev2 ipsec-proposal ipsec-proposal
     protocol esp encryption aes-256 aes-192 aes
     protocol esp integrity sha-256 sha-1 md5

    crypto dynamic-map DYNMAP 10 set ikev2 ipsec-proposal ipsec-proposal
    crypto map MAP 10 ipsec-isakmp dynamic DYNMAP
    crypto map MAP interface outside

    crypto ikev2 policy 10
     encryption 3des
     integrity sha
     group 2
     prf sha
     lifetime seconds 86400

    Da Windows 7 eine IKE-ID-Typadresse im IKE_AUTH-Paket sendet, sollte die DefaultRAGroup verwendet werden, um sicherzustellen, dass die Verbindung in der richtigen Tunnelgruppe landet. Die ASA authentifiziert sich mit einem Zertifikat (lokale Authentifizierung) und erwartet, dass der Client EAP verwendet (Remote-Authentifizierung). Außerdem muss die ASA eine EAP-Identitätsanforderung senden, damit der Client eine EAP-Identitätsantwort (Abfrageidentität) sendet.

    tunnel-group DefaultRAGroup general-attributes
     address-pool POOL
     authentication-server-group ISE
     default-group-policy AllProtocols
    tunnel-group DefaultRAGroup ipsec-attributes
    ikev2 remote-authentication eap query-identity
     ikev2 local-authentication certificate TP

    Schließlich muss IKEv2 aktiviert und das richtige Zertifikat verwendet werden.

    crypto ikev2 enable outside client-services port 443
    crypto ikev2 remote-access trustpoint TP

    Windows 7

    Schritt 1: Installieren des Zertifizierungsstellenzertifikats

    Damit das von der ASA bereitgestellte Zertifikat vertrauenswürdig ist, muss der Windows-Client seiner Zertifizierungsstelle vertrauen. Dieses Zertifizierungsstellenzertifikat sollte dem Computerzertifikatsspeicher (nicht dem Benutzerspeicher) hinzugefügt werden. Der Windows-Client verwendet den Computerspeicher, um das IKEv2-Zertifikat zu validieren.

    Um die Zertifizierungsstelle hinzuzufügen, wählen Sie MMC > Snap-Ins hinzufügen oder entfernen > Zertifikate aus.

    119208-config-asa-02

    Klicken Sie auf das Optionsfeld Computerkonto.

    119208-config-asa-03

    Importieren Sie die Zertifizierungsstelle in die vertrauenswürdigen Stammzertifizierungsstellen.

    119208-config-asa-04

    Wenn der Windows-Client das von der ASA vorgelegte Zertifikat nicht validieren kann, meldet er:

    13801: IKE authentication credentials are unacceptable

    Schritt 2: Konfigurieren der VPN-Verbindung

    Um die VPN-Verbindung über das Netzwerk- und Freigabecenter zu konfigurieren, wählen Sie Verbindung mit Arbeitsplatz herstellen, um eine VPN-Verbindung zu erstellen.

    119208-config-asa-05

    Wählen Sie Internetverbindung (VPN) verwenden aus.

    119208-config-asa-06

    Konfigurieren Sie die Adresse mit einem ASA FQDN. Vergewissern Sie sich, dass der DNS (Domain Name Server) ihn korrekt auflöst.

    119208-config-asa-07

    Passen Sie ggf. die Eigenschaften (z. B. die Zertifikatsvalidierung) im Fenster "Protected EAP Properties" (Eigenschaften von geschütztem EAP) an.

    119208-config-asa-08

    Überprüfung

    Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Das Output Interpreter-Tool (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das Output Interpreter-Tool, um eine Analyse der show-Befehlsausgabe anzuzeigen.

    Windows-Client

    Geben Sie Ihre Anmeldeinformationen ein, wenn Sie eine Verbindung herstellen.

    119208-config-asa-09

    Nach erfolgreicher Authentifizierung wird die IKEv2-Konfiguration angewendet.

    119208-config-asa-10

    Die Sitzung ist aktiv.

    119208-config-asa-11

    Die Routing-Tabelle wurde mithilfe einer neuen Schnittstelle mit der niedrigen Metrik mit der Standardroute aktualisiert.

    C:\Users\admin>route print
    ===========================================================================
    Interface List
     41...........................IKEv2 connection to ASA
     11...08 00 27 d2 cb 54 ......Karta Intel(R) PRO/1000 MT Desktop Adapter
      1...........................Software Loopback Interface 1
     15...00 00 00 00 00 00 00 e0 Karta Microsoft ISATAP
     12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
     22...00 00 00 00 00 00 00 e0 Karta Microsoft ISATAP #4
    ===========================================================================

    IPv4 Route Table
    ===========================================================================
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0     192.168.10.1    192.168.10.68   4491
              0.0.0.0          0.0.0.0         On-link      192.168.1.10     11
         10.62.71.177  255.255.255.255     192.168.10.1    192.168.10.68   4236
            127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
            127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
      127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
         192.168.1.10  255.255.255.255         On-link      192.168.1.10    266
         192.168.10.0    255.255.255.0         On-link     192.168.10.68   4491
        192.168.10.68  255.255.255.255         On-link     192.168.10.68   4491
       192.168.10.255  255.255.255.255         On-link     192.168.10.68   4491
            224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
            224.0.0.0        240.0.0.0         On-link     192.168.10.68   4493
            224.0.0.0        240.0.0.0         On-link      192.168.1.10     11
      255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
      255.255.255.255  255.255.255.255         On-link     192.168.10.68   4491
      255.255.255.255  255.255.255.255         On-link      192.168.1.10    266
    ===========================================================================

    Protokolle

    Nach erfolgreicher Authentifizierung meldet die ASA:

    ASAv(config)# show vpn-sessiondb detail ra-ikev2-ipsec 

    Session Type: Generic Remote-Access IKEv2 IPsec Detailed

    Username     : cisco                  Index        : 13
    Assigned IP  : 192.168.1.10           Public IP    : 10.147.24.166
    Protocol     : IKEv2 IPsecOverNatT
    License      : AnyConnect Premium
    Encryption   : IKEv2: (1)3DES  IPsecOverNatT: (1)AES256
    Hashing      : IKEv2: (1)SHA1  IPsecOverNatT: (1)SHA1
    Bytes Tx     : 0                      Bytes Rx     : 7775
    Pkts Tx      : 0                      Pkts Rx      : 94
    Pkts Tx Drop : 0                      Pkts Rx Drop : 0
    Group Policy : AllProtocols           Tunnel Group : DefaultRAGroup
    Login Time   : 17:31:34 UTC Tue Nov 18 2014
    Duration     : 0h:00m:50s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                    VLAN         : none
    Audt Sess ID : c0a801010000d000546b8276
    Security Grp : none

    IKEv2 Tunnels: 1
    IPsecOverNatT Tunnels: 1

    IKEv2:
      Tunnel ID    : 13.1
      UDP Src Port : 4500                   UDP Dst Port : 4500
      Rem Auth Mode: EAP
      Loc Auth Mode: rsaCertificate
      Encryption   : 3DES                   Hashing      : SHA1
      Rekey Int (T): 86400 Seconds          Rekey Left(T): 86351 Seconds
      PRF          : SHA1                   D/H Group    : 2
      Filter Name  : 

    IPsecOverNatT:
      Tunnel ID    : 13.2
      Local Addr   : 0.0.0.0/0.0.0.0/0/0
      Remote Addr  : 192.168.1.10/255.255.255.255/0/0
      Encryption   : AES256                 Hashing      : SHA1                   
      Encapsulation: Tunnel                 
      Rekey Int (T): 28800 Seconds          Rekey Left(T): 28750 Seconds          
      Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
      Bytes Tx     : 0                      Bytes Rx     : 7834                   
      Pkts Tx      : 0                      Pkts Rx      : 95   

    ISE-Protokolle weisen auf eine erfolgreiche Authentifizierung mit Standardauthentifizierungs- und Autorisierungsregeln hin.

    119208-config-asa-12

    Die Details geben die PEAP-Methode an.

    119208-config-asa-13

    Fehlerbehebung auf der ASA

    Die wichtigsten Fehlerbehebungsschritte sind:

    ASAv# debug crypto ikev2 protocol 32
    <most debugs omitted for clarity....

    IKE_SA_INIT-Paket, das von der ASA empfangen wurde (umfasst IKEv2-Vorschläge und den Schlüsselaustausch für Diffie-Hellman (DH)):

    IKEv2-PROTO-2: Received Packet [From 10.147.24.166:500/To 10.62.71.177:500/VRF i0:f0] 
    Initiator SPI : 7E5B69A028355701 - Responder SPI : 0000000000000000 Message id: 0
    IKEv2 IKE_SA_INIT Exchange REQUESTIKEv2-PROTO-3: Next payload: SA,
     version: 2.0 Exchange type: IKE_SA_INIT, flags: INITIATOR Message id: 0, length: 528 
    Payload contents: 
     SA  Next payload: KE, reserved: 0x0, length: 256
      last proposal: 0x2, reserved: 0x0, length: 40
      Proposal: 1, Protocol id: IKE, SPI size: 0, #trans: 4    last transform: 0x3,
     reserved: 0x0: length: 8
    .....

    IKE_SA_INIT-Antwort an den Initiator (umfasst IKEv2-Vorschläge, Schlüsselaustausch für DH und Zertifikatsanforderung):

    IKEv2-PROTO-2: (30): Generating IKE_SA_INIT message
    IKEv2-PROTO-2: (30): IKE Proposal: 1, SPI size: 0 (initial negotiation), 
    Num. transforms: 4
    (30):    3DES(30):    SHA1(30):    SHA96(30):    DH_GROUP_1024_MODP/Group
     2IKEv2-PROTO-5:
     Construct Vendor Specific Payload: DELETE-REASONIKEv2-PROTO-5: Construct Vendor
     Specific Payload: (CUSTOM)IKEv2-PROTO-5: Construct Notify Payload:
     NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5: Construct Notify Payload:
     NAT_DETECTION_DESTINATION_IPIKEv2-PROTO-5: Construct Vendor Specific Payload:
     FRAGMENTATION(30):  
    IKEv2-PROTO-2: (30): Sending Packet [To 10.147.24.166:500/From
     10.62.71.177:500/VRF i0:f0]

    IKE_AUTH für Client mit IKE-ID, Zertifikatsanforderung, vorgeschlagenen Transformationssätzen, angeforderter Konfiguration und Datenverkehrsauswahl:

    IKEv2-PROTO-2: (30): Received Packet [From 10.147.24.166:4500/To 10.62.71.177:500/VRF
     i0:f0] 
    (30): Initiator SPI : 7E5B69A028355701 - Responder SPI : 1B1A94C7A7739855 Message id: 1
    (30): IKEv2 IKE_AUTH Exchange REQUESTIKEv2-PROTO-3: (30): Next payload: ENCR,
     version: 2.0 (30): Exchange type: IKE_AUTH, flags: INITIATOR (30): Message id: 1,
     length: 948(30):

    IKE_AUTH-Antwort von der ASA, die eine EAP-Identitätsanforderung enthält (erstes Paket mit EAP-Erweiterungen). Dieses Paket enthält auch das Zertifikat (falls kein richtiges Zertifikat auf dem ASA vorhanden ist, liegt ein Fehler vor):

    IKEv2-PROTO-2: (30): Generating EAP request
    IKEv2-PROTO-2: (30): Sending Packet [To 10.147.24.166:4500/From 10.62.71.177:4500/VRF
     i0:f0]

    EAP-Antwort, die von der ASA empfangen wurde (Länge 5, Nutzlast: cisco):

    (30): REAL Decrypted packet:(30): Data&colon; 14 bytes
    (30):  EAP(30):   Next payload: NONE, reserved: 0x0, length: 14
    (30):     Code: response: id: 36, length: 10
    (30):     Type: identity
    (30): EAP data&colon; 5 bytes

    Anschließend werden mehrere Pakete als Teil von EAP-PEAP ausgetauscht. Schließlich wird der EAP-Erfolg von der ASA empfangen und an den Supplicant weitergeleitet:

    Payload contents: 
    (30):  EAP(30):   Next payload: NONE, reserved: 0x0, length: 8
    (30):     Code: success: id: 76, length: 4

    Die Peer-Authentifizierung ist erfolgreich:

    IKEv2-PROTO-2: (30): Verification of peer's authenctication data PASSED

    Und die VPN-Sitzung ist ordnungsgemäß beendet.

    Paketebene

    Die EAP-Identitätsanforderung wird in die "Extensible Authentication" des IKE_AUTH-Sendevorgangs durch die ASA eingekapselt. Zusammen mit der Identitätsanforderung werden IKE_ID und Zertifikate gesendet.

    119208-config-asa-14

    Alle nachfolgenden EAP-Pakete werden in IKE_AUTH gekapselt. Nachdem der Supplicant die Methode (EAP-PEAP) bestätigt hat, beginnt er mit dem Aufbau eines SSL-Tunnels (Secure Sockets Layer), der die für die Authentifizierung verwendete MSCHAPv2-Sitzung schützt.

    119208-config-asa-15

    Nachdem mehrere Pakete ausgetauscht wurden, bestätigt die ISE den Erfolg.

    119208-config-asa-16

    Die IKEv2-Sitzung wird durch die ASA abgeschlossen, die Endkonfiguration (Konfigurationsantwort mit Werten wie einer zugewiesenen IP-Adresse), Transformationssätze und Datenverkehrsauswahl werden an den VPN-Client übertragen.

    119208-config-asa-17

    Fehlerbehebung

    Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    21-Apr-2016
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Michal Garcarz
      Cisco TAC-Techniker
    • Eugene Korneychuk
      Cisco TAC-Techniker
    • Wojciech Cecot
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.