ASA 8.x: Split-Tunneling für AnyConnect VPN-Client im ASA-Konfigurationsbeispiel zulassen

Einleitung

In diesem Dokument finden Sie schrittweise Anleitungen dazu, wie Sie den Zugriff von Cisco AnyConnect VPN-Clients auf das Internet zulassen, während diese in eine Cisco Adaptive Security Appliance (ASA) 8.0.2 getunnelt werden. Diese Konfiguration ermöglicht dem Client den sicheren Zugriff auf Unternehmensressourcen über SSL, während der ungeschützte Zugriff auf das Internet über Split-Tunneling gewährt wird.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie diese Konfiguration ausprobieren:

• ASA Security Appliance muss Version 8.x ausführen

• Cisco AnyConnect VPN-Client 2.x

  Hinweis: Laden Sie das AnyConnect VPN Client-Paket (anyconnect-win*.pkg) aus dem Cisco Software-Download herunter (nur für registrierte Kunden). Kopieren Sie den AnyConnect VPN Client in den Flash-Speicher der ASA. Er muss auf die Remote-Benutzercomputer heruntergeladen werden, damit die SSL-VPN-Verbindung mit der ASA hergestellt werden kann. Weitere Informationen finden Sie im Abschnitt Installing the AnyConnect Client (Installieren des AnyConnect-Clients) im ASA-Konfigurationsleitfaden.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco ASA 5500 Serie mit Software-Version 8.0(2)

• Cisco AnyConnect SSL VPN Client-Version für Windows 2.0.0343

• PC mit Microsoft Visa, Windows XP SP2 oder Windows 2000 Professional SP4 mit Microsoft Installer Version 3.1

• Cisco Adaptive Security Device Manager (ASDM) Version 6.0(2)

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Der Cisco AnyConnect VPN Client bietet sichere SSL-Verbindungen mit der Sicherheits-Appliance für Remote-Benutzer. Ohne einen zuvor installierten Client geben Remote-Benutzer im Browser die IP-Adresse einer Schnittstelle ein, die für die Annahme von SSL-VPN-Verbindungen konfiguriert ist. Sofern die Sicherheits-Appliance nicht für die Umleitung von http://-Anfragen an https:// konfiguriert ist, müssen Benutzer die URL im Format https:// eingeben<address>.

Nach der Eingabe der URL stellt der Browser eine Verbindung mit dieser Schnittstelle her und zeigt den Anmeldebildschirm an. Wenn der Benutzer die Anmeldung und Authentifizierung erfüllt und die Sicherheits-Appliance den Benutzer als den Client benötigend identifiziert, lädt sie den Client herunter, der mit dem Betriebssystem des Remote-Computers übereinstimmt. Nach dem Herunterladen installiert und konfiguriert sich der Client selbst, stellt eine sichere SSL-Verbindung her und bleibt entweder erhalten oder deinstalliert sich selbst (je nach Konfiguration der Sicherheits-Appliance), wenn die Verbindung beendet wird.

Im Falle eines zuvor installierten Clients überprüft die Sicherheits-Appliance bei der Authentifizierung des Benutzers die Revision des Clients und aktualisiert den Client bei Bedarf.

Wenn der Client eine SSL VPN-Verbindung mit der Sicherheitsappliance aushandelt, stellt er eine Verbindung über Transport Layer Security (TLS) und optional über Datagram Transport Layer Security (DTLS) her. DTLS vermeidet Latenz- und Bandbreitenprobleme im Zusammenhang mit einigen SSL-Verbindungen und verbessert die Leistung von Echtzeitanwendungen, die empfindlich auf Paketverzögerungen reagieren.

Der AnyConnect-Client kann von der Sicherheits-Appliance heruntergeladen oder vom Systemadministrator manuell auf dem Remote-PC installiert werden. Weitere Informationen zur manuellen Installation des Clients finden Sie im Cisco AnyConnect VPN Client Administrator Guide.

Die Sicherheits-Appliance lädt den Client basierend auf den Gruppenrichtlinien- oder Benutzernamen-Attributen des Benutzers herunter, der die Verbindung herstellt. Sie können die Sicherheits-Appliance so konfigurieren, dass der Client automatisch heruntergeladen wird, oder Sie können sie so konfigurieren, dass der Remote-Benutzer gefragt wird, ob er den Client herunterladen möchte. Im letzteren Fall können Sie die Sicherheits-Appliance so konfigurieren, dass sie den Client entweder nach einer Zeitüberschreitung herunterlädt oder die Anmeldeseite anzeigt, wenn der Benutzer nicht antwortet.

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Hinweis: Die in dieser Konfiguration verwendeten IP-Adressierungsschemata sind im Internet nicht legal routbar. Es handelt sich um RFC 1918-Adressen, die in einer Lab-Umgebung verwendet wurden.

ASA-Konfiguration mit ASDM 6.0(2)

In diesem Dokument wird davon ausgegangen, dass die Basiskonfiguration, z. B. die Schnittstellenkonfiguration, bereits vorgenommen wurde und ordnungsgemäß funktioniert.

Hinweis: Weitere Informationen dazu, wie die ASA vom ASDM konfiguriert werden kann, finden Sie unter Zulassen des HTTPS-Zugriffs für ASDM.

Hinweis: WebVPN und ASDM können nur auf derselben ASA-Schnittstelle aktiviert werden, wenn Sie die Portnummern ändern. Weitere Informationen finden Sie unter ASDM and WebVPN Enabled on the Same Interface of ASA (ASDM- und WebVPN-Aktivierung auf derselben ASA-Schnittstelle).

Gehen Sie wie folgt vor, um das SSL VPN auf ASA mit Split-Tunneling zu konfigurieren:

1. Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > Address Management > Address Pools > Add, um einen IP-Adresspool vpnpool zu erstellen.

   

2. Klicken Sie auf Apply (Anwenden).

   Gleichwertige CLI-Konfiguration:

   Cisco ASA 8.0 (2)
   ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0

3. Aktivieren Sie WebVPN.

   1. Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles (Konfiguration > VPN für Remote-Zugriff > Netzwerkzugriff (Client) > SSL-VPN-Verbindungsprofile) aus, und aktivieren Sie unter Access Interfaces (Zugriffsschnittstellen) die Kontrollkästchen Allow Access (Zugriff zulassen) und Enable DTLS (DTLS zulassen) für die äußere Schnittstelle. Aktivieren Sie außerdem das Kontrollkästchen Enable Cisco AnyConnect VPN Client or legacy SSL VPN Client access on the interface selected in the table below (Cisco AnyConnect VPN Client-Zugriff oder Legacy-SSL-VPN-Client-Zugriff auf der in der folgenden Tabelle ausgewählten Schnittstelle aktivieren), um SSL-VPN auf der äußeren Schnittstelle zu aktivieren.

      

   2. Klicken Sie auf Apply (Anwenden).

   3. Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > Advanced > SSL VPN > Client Settings > Add, um das Cisco AnyConnect VPN-Client-Image aus dem Flash-Speicher der ASA hinzuzufügen, wie dargestellt.

      

   4. Klicken Sie auf OK.

      

   5. Klicken Sie auf Hinzufügen.

      

      Gleichwertige CLI-Konfiguration:

      Cisco ASA 8.0 (2)
      ciscoasa(config)#webvpn ciscoasa(config-webvpn)#enable outside ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1 ciscoasa(config-webvpn)#tunnel-group-list enable ciscoasa(config-webvpn)#svc enable

4. Konfigurieren Sie die Gruppenrichtlinie.

   1. Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > Group Policies (Konfiguration > VPN für Remote-Zugriff > Netzwerkzugriff (Client) > Gruppenrichtlinien) aus, um die interne Gruppenrichtlinie clientgroup zu erstellen. Aktivieren Sie auf der Registerkarte General (Allgemein) das Kontrollkästchen SSL VPN Client (SSL-VPN–Client), um WebVPN als Tunneling-Protokoll zu aktivieren.

      

   2. Deaktivieren Sie auf der Registerkarte Erweitert > Tunneling aufteilen das Kontrollkästchen Vererben für die Split Tunnel-Richtlinie, und wählen Sie in der Dropdown-Liste die Option Tunnelnetzwerkliste unten aus.

      

   3. Deaktivieren Sie das Kontrollkästchen Vererben für Split Tunnel Network List, und klicken Sie dann auf Verwalten, um den ACL Manager zu starten.

      

   4. Wählen Sie in ACL Manager Add (Hinzufügen) > Add ACL ... (ACL hinzufügen ...) aus, um eine neue Zugriffsliste zu erstellen.

      

   5. Geben Sie einen Namen für die ACL ein, und klicken Sie auf OK.

      

   6. Nachdem der ACL-Name erstellt wurde, wählen Sie Add > Add ACE (Hinzufügen > ACE hinzufügen), um einen Access Control Entry (ACE) hinzuzufügen.

      Definieren Sie den ACE, der dem LAN hinter der ASA entspricht. In diesem Fall ist das Netzwerk 10.77.241.128/26, und wählen Sie Zulassen als Aktion aus.

   7. Klicken Sie auf OK, um ACL Manager zu beenden.

      

   8. Vergewissern Sie sich, dass die soeben erstellte ACL für die Split-Tunnel-Netzwerkliste ausgewählt ist. Klicken Sie auf OK, um zur Konfiguration der Gruppenrichtlinie zurückzukehren.

      

   9. Klicken Sie auf der Hauptseite auf Apply (Übernehmen) und dann auf Send (Senden) (falls erforderlich), um die Befehle an die ASA zu senden.

   10. Konfigurieren Sie die SSL VPN-Einstellungen im Gruppenrichtlinienmodus.

       1. Deaktivieren Sie für die Option Installationsprogramm auf Client-System beibehalten das Kontrollkästchen Erben, und klicken Sie auf das Optionsfeld Ja.

          Mit dieser Aktion kann die SVC-Software auf dem Client-Computer verbleiben. Daher ist die ASA nicht verpflichtet, die SVC-Software bei jeder Verbindungsherstellung auf den Client herunterzuladen. Diese Option ist eine gute Wahl für Remote-Benutzer, die häufig auf das Unternehmensnetzwerk zugreifen.

          

       2. Klicken Sie auf Anmeldungseinstellung, um die Einstellung nach der Anmeldung und die Standardauswahl nach der Anmeldung wie dargestellt festzulegen.

          

       3. Deaktivieren Sie für die Option "Neuverhandlungsintervall" das Kontrollkästchen Erben, deaktivieren Sie das Kontrollkästchen Unbegrenzt, und geben Sie die Anzahl der Minuten bis zur erneuten Eingabe ein.

          Die Sicherheit wird verbessert, indem die Gültigkeitsdauer eines Schlüssels begrenzt wird.

       4. Deaktivieren Sie für die Option Neuverhandlungsmethode das Kontrollkästchen Vererben, und klicken Sie auf das Optionsfeld SSL.

          Bei einer Neuverhandlung kann der vorhandene SSL-Tunnel oder ein neuer Tunnel, der ausdrücklich für eine Neuverhandlung erstellt wurde, verwendet werden.

          

   11. Klicken Sie auf OK und dann auf Apply (Übernehmen).

       

       Gleichwertige CLI-Konfiguration:

       Cisco ASA 8.0 (2)

       ciscoasa(config)#access-list split-tunnel standard permit 10.77.241.128 255.255.255.1922 ciscoasa(config)#group-policy clientgroup internal ciscoasa(config)#group-policyclientgroup attributes ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified ciscoasa(config-group-policy)#split-tunnel-network-list value split-tunnel ciscoasa(config-group-policy)#webvpn ciscoasa(config-group-webvpn)#svc ask none default svc ciscoasa(config-group-webvpn)#svc keep-installer installed ciscoasa(config-group-webvpn)#svc rekey time 30 ciscoasa(config-group-webvpn)#svc rekey method ssl

5. Wählen Sie Configuration > Remote Access VPN > AAA Setup > Local Users > Add, um ein neues Benutzerkonto ssluser1 zu erstellen. Klicken Sie auf OK und dann auf Apply.

   

   Gleichwertige CLI-Konfiguration:

   Cisco ASA 8.0 (2)
   ciscoasa(config)#username ssluser1 password asdmASA@

6. Wählen Sie Configuration > Remote Access VPN > AAA Setup > AAA Servers Groups > Edit aus, um die Standard-Servergruppe LOCAL zu ändern, indem Sie das Kontrollkästchen Enable Local User Lockout (Lokale Benutzersperre aktivieren) mit dem Wert für die maximalen Versuche als 16 aktivieren.

   

7. Klicken Sie auf OK und dann auf Apply (Übernehmen).

   Gleichwertige CLI-Konfiguration:

   Cisco ASA 8.0 (2)
   ciscoasa(config)#aaa local authentication attempts max-fail 16

8. Konfigurieren Sie die Tunnelgruppe.

   1. Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles Connection Profiles > Add, um eine neue Tunnelgruppe sslgroup zu erstellen. -

   2. Auf der Registerkarte Basic (Grundeinstellungen) können Sie die Liste der Konfigurationen wie folgt ausführen:

      • Nennen Sie die Tunnelgruppe sslgroup.

      • Wählen Sie unter Client Address Assignment (Client-Adressenzuweisung) den Adresspool vpnpool aus der Dropdown-Liste aus.

      • Wählen Sie unter Default Group Policy (Standardgruppenrichtlinie) die ClientGroup der Gruppenrichtlinie aus der Dropdown-Liste aus.

      

   3. Geben Sie auf der Registerkarte SSL VPN > Connection Aliases den Namen des Gruppenalias sslgroup_users an, und klicken Sie auf OK.

      

   4. Klicken Sie auf OK und dann auf Apply (Übernehmen).

      Gleichwertige CLI-Konfiguration:

      Cisco ASA 8.0 (2)
      ciscoasa(config)#tunnel-group sslgroup type remote-access ciscoasa(config)#tunnel-group sslgroup general-attributes ciscoasa(config-tunnel-general)#address-pool vpnpool ciscoasa(config-tunnel-general)#default-group-policy clientgroup ciscoasa(config-tunnel-general)#exit ciscoasa(config)#tunnel-group sslgroup webvpn-attributes ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

9. Konfigurieren von NAT.

   1. Wählen Sie Configuration > Firewall > NAT Rules > Add Dynamic NAT Rule (Konfiguration > Firewall > NAT-Regeln > dynamische NAT-Regel hinzufügen), damit der Datenverkehr aus dem internen Netzwerk mit der externen IP-Adresse 172.16.1.5 übersetzt werden kann.

      

   2. Klicken Sie auf OK.

   3. Klicken Sie auf OK.

      

   4. Klicken Sie auf Apply (Anwenden).

      Gleichwertige CLI-Konfiguration:

      Cisco ASA 8.0 (2)
      ciscoasa(config)#global (outside) 1 172.16.1.5 ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0

10. Konfigurieren Sie die NAT-Ausnahme für den zurückkehrenden Datenverkehr vom internen Netzwerk zum VPN-Client.

    ciscoasa(config)#access-list nonat permit ip 10.77.241.0 192.168.10.0
    ciscoasa(config)#access-list nonat permit ip 192.168.10.0 10.77.241.0
    ciscoasa(config)#nat (inside) 0 access-list nonat
    

CLI-Konfiguration der ASA

ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list split-tunnel standard permit 10.77.241.128 255.255.255.192

!--- ACL for Split Tunnel network list for encryption.

access-list nonat permit ip 10.77.241.0 192.168.10.0
access-list nonat permit ip 192.168.10.0 10.77.241.0

!--- ACL to define the traffic to be exempted from NAT.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP.

nat (inside) 0 access-list nonat

!--- The traffic permitted in "nonat" ACL is exempted from NAT.


nat (inside) 1 0.0.0.0 0.0.0.0


route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface


 svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image

 
svc enable


!--- Enable the security appliance to download SVC images to remote computers

 
tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
 vpn-tunnel-protocol svc


!--- Specify SSL as a permitted VPN tunneling protocol

 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-tunnel


!--- Encrypt the traffic specified in the split tunnel ACL only


 webvpn
  svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, they renegotiate !--- the crypto keys and initialization vectors, increasing the security of the connection.

  
 svc rekey time 30


!--- Command that specifies the number of minutes from the start of the !--- session until the rekey takes place, from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation takes place during SVC rekey.


  svc ask none default svc

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Einrichtung der SSL VPN-Verbindung mit SVC

Gehen Sie wie folgt vor, um eine SSL VPN-Verbindung mit ASA herzustellen:

1. Geben Sie die URL oder die IP-Adresse der WebVPN-Schnittstelle der ASA in Ihrem Webbrowser in der folgenden Form ein.

   https://url

   ODER

   https://<IP address of the ASA WebVPN interface>

   

2. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein. Wählen Sie außerdem Ihre jeweilige Gruppe aus der Dropdown-Liste aus, wie dargestellt.

   

   Dieses Fenster wird angezeigt, bevor die SSL VPN-Verbindung hergestellt wird.

   

   Hinweis: Vor dem Herunterladen des SVC muss die ActiveX-Software auf Ihrem Computer installiert sein.

   Sie erhalten dieses Fenster, sobald die Verbindung hergestellt ist.

   

3. Klicken Sie auf die Sperre, die in der Taskleiste Ihres Computers angezeigt wird.

   

   Dieses Fenster wird angezeigt und enthält Informationen zur SSL-Verbindung. 192.168.10.1 ist beispielsweise die von der ASA zugewiesene IP.

   

   In diesem Fenster werden die Versionsinformationen des Cisco AnyConnect VPN Clients angezeigt.

   

Überprüfung

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.

• show webvpn svc: Zeigt die im ASA-Flash-Speicher gespeicherten SVC-Images an.

  ciscoasa#show webvpn svc
  1. disk0:/anyconnect-win-2.0.0343-k9.pkg 1
    CISCO STC win2k+
    2,0,0343
    Mon 04/23/2007  4:16:34.63
  
  1 SSL VPN Client(s) installed
  

• show vpn-sessiondb svc (vpn-sitzungsdb svc): Zeigt die Informationen über die aktuellen SSL-Verbindungen an.

  ciscoasa#show vpn-sessiondb svc
  
  Session Type: SVC
  
  Username     : ssluser1               Index        : 12
  Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
  Protocol     : Clientless SSL-Tunnel DTLS-Tunnel
  Encryption   : RC4 AES128             Hashing      : SHA1
  Bytes Tx     : 194118                 Bytes Rx     : 197448
  Group Policy : clientgroup            Tunnel Group : sslgroup
  Login Time   : 17:12:23 IST Mon Mar 24 2008
  Duration     : 0h:12m:00s
  NAC Result   : Unknown
  VLAN Mapping : N/A                    VLAN         : none

• show webvpn group-alias: Zeigt den konfigurierten Alias für verschiedene Gruppen an.

  ciscoasa#show webvpn group-alias
  Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled
  

• Wählen Sie in ASDM Monitoring > VPN > VPN Statistics > Sessions, um die aktuellen WebVPN-Sitzungen in der ASA zu kennen.

  

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

1. vpn-sessiondb logoff name <Benutzername> - Befehl zum Abmelden der SSL VPN-Sitzung für den jeweiligen Benutzernamen.

   ciscoasa#vpn-sessiondb logoff name ssluser1
   Do you want to logoff the VPN session(s)? [confirm] Y
   INFO: Number of sessions with name "ssluser1" logged off : 1
   
   ciscoasa#Called vpn_remove_uauth: success!
   webvpn_svc_np_tear_down: no ACL
   webvpn_svc_np_tear_down: no IPv6 ACL
   np_svc_destroy_session(0xB000)
   

   Auf ähnliche Weise können Sie den Befehl vpn-sessiondb logoff svc verwenden, um alle SVC-Sitzungen zu beenden.

2. Hinweis: Wenn der PC in den Standby- oder Ruhemodus wechselt, kann die SSL VPN-Verbindung beendet werden.

   webvpn_rx_data_cstp
   webvpn_rx_data_cstp: got message
   SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, e
   tc)
   Called vpn_remove_uauth: success!
   webvpn_svc_np_tear_down: no ACL
   webvpn_svc_np_tear_down: no IPv6 ACL
   np_svc_destroy_session(0xA000)
   

   ciscoasa#show vpn-sessiondb svc
   INFO: There are presently no active sessions

3. debug webvpn svc <1-255> - Stellt die Webvpn-Ereignisse in Echtzeit bereit, um die Sitzung einzurichten.

   Ciscoasa#debug webvpn svc 7
   
   webvpn_rx_data_tunnel_connect
   CSTP state = HEADER_PROCESSING
   http_parse_cstp_method()
   ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
   webvpn_cstp_parse_request_field()
   ...input: 'Host: 172.16.1.1'
   Processing CSTP header line: 'Host: 172.16.1.1'
   webvpn_cstp_parse_request_field()
   ...input: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343'
   Processing CSTP header line: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343
   '
   Setting user-agent to: 'Cisco AnyConnect VPN Client 2, 0, 0343'
   webvpn_cstp_parse_request_field()
   ...input: 'Cookie: webvpn=16885952@12288@1206098825@D251883E8625B92C1338D631B08B
   7D75F4EDEF26'
   Processing CSTP header line: 'Cookie: webvpn=16885952@12288@1206098825@D251883E8
   625B92C1338D631B08B7D75F4EDEF26'
   Found WebVPN cookie: 'webvpn=16885952@12288@1206098825@D251883E8625B92C1338D631B
   08B7D75F4EDEF26'
   WebVPN Cookie: 'webvpn=16885952@12288@1206098825@D251883E8625B92C1338D631B08B7D7
   5F4EDEF26'
   webvpn_cstp_parse_request_field()
   ...input: 'X-CSTP-Version: 1'
   Processing CSTP header line: 'X-CSTP-Version: 1'
   Setting version to '1'
   webvpn_cstp_parse_request_field()
   ...input: 'X-CSTP-Hostname: tacweb'
   Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
   Setting hostname to: 'tacweb'
   webvpn_cstp_parse_request_field()
   ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
   Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
   webvpn_cstp_parse_request_field()
   ...input: 'X-CSTP-MTU: 1206'
   Processing CSTP header line: 'X-CSTP-MTU: 1206'
   webvpn_cstp_parse_request_field()
   ...input: 'X-CSTP-Address-Type: IPv4'
   Processing CSTP header line: 'X-CSTP-Address-Type: IPv4'
   webvpn_cstp_parse_request_field()
   ...input: 'X-DTLS-Master-Secret: CE151BA2107437EDE5EC4F5EE6AEBAC12031550B1812D40
   642E22C6AFCB9501758FF3B7B5545973C06F6393C92E59693'
   Processing CSTP header line: 'X-DTLS-Master-Secret: CE151BA2107437EDE5EC4F5EE6AE
   BAC12031550B1812D40642E22C6AFCB9501758FF3B7B5545973C06F6393C92E59693'
   webvpn_cstp_parse_request_field()
   ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
   Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3
   -SHA:DES-CBC-SHA'
   Validating address: 0.0.0.0
   CSTP state = WAIT_FOR_ADDRESS
   webvpn_cstp_accept_address: 192.168.10.1/0.0.0.0
   CSTP state = HAVE_ADDRESS
   No subnetmask... must calculate it
   SVC: NP setup
   np_svc_create_session(0x3000, 0xD41611E8, TRUE)
   webvpn_svc_np_setup
   SVC ACL Name: NULL
   SVC ACL ID: -1
   SVC ACL ID: -1
   vpn_put_uauth success!
   SVC IPv6 ACL Name: NULL
   SVC IPv6 ACL ID: -1
   SVC: adding to sessmgmt
   SVC: Sending response
   Unable to initiate NAC, NAC might not be enabled or invalid policy
   CSTP state = CONNECTED
   webvpn_rx_data_cstp
   webvpn_rx_data_cstp: got internal message
   Unable to initiate NAC, NAC might not be enabled or invalid policy

4. Wählen Sie in ASDM die Option Monitoring > Logging > Real-time Log Viewer > View (Überwachung > Protokollierung > Echtzeitprotokollanzeige > Ansicht) aus, um die Echtzeitereignisse anzuzeigen.

   

   Dieses Beispiel zeigt, dass die SSL-Sitzung mit dem Headend-Gerät hergestellt wurde.

   

Zugehörige Informationen

• Support-Seite für Cisco Adaptive Security Appliance der Serie 5500
• Versionshinweise für AnyConnect VPN Client, Version 2.0
• ASA/PIX: Zulassen von Split-Tunneling für VPN-Client auf der ASA
• Konfigurationsbeispiel: Router ermöglicht VPN-Clients, IPsec und Internet mit Split-Tunneling zu verbinden
• PIX/ASA 7.x und VPN-Client für öffentliches Internet-VPN auf einem Stick - Konfigurationsbeispiel
• Konfigurationsbeispiel zum SSL VPN Client (SVC) unter ASA mit ASDM
• Technischer Support und Dokumentation für Cisco Systeme