Cliente VPN y acceso al cliente de AnyConnect al ejemplo de configuración del LAN local

Introducción

Este documento describe cómo permitir que el Cliente Cisco VPN o el Cliente de movilidad Cisco AnyConnect Secure acceda solamente su LAN local mientras que es tunneled en las 5500 Series adaptantes de un dispositivo de seguridad de Cisco (ASA) o las 5500-X Series ASA. Esta configuración permite los Clientes Cisco VPN o el acceso seguro del Cliente de movilidad Cisco AnyConnect Secure a los recursos corporativos vía el IPSec, Secure Sockets Layer (SSL), o el intercambio de claves de Internet versión 2 (IKEv2) y todavía da a cliente la capacidad de realizar las actividades tales como impresión donde localizan al cliente. Si se permite, el tráfico destinado para el Internet es todavía tunneled al ASA. 

Nota: Esto no es una configuración para el Túnel dividido, donde el cliente tiene acceso unencrypted a Internet mientras que está conectado con el ASA o el PIX. Consulte PIX/ASA 7.x: Permita el Túnel dividido para los clientes VPN en el ejemplo de configuración ASA para la información sobre cómo configurar el Túnel dividido en el ASA.

Prerrequisitos

Requisitos

Este documento asume que una configuración funcional del VPN de acceso remoto existe ya en el ASA.

Refiera al PIX/ASA 7.x como servidor VPN remoto que usa el ejemplo de la Configuración de ASDM para el Cliente Cisco VPN si uno no se configura ya.

Refiera al acceso ASA 8.x VPN con el ejemplo de configuración del cliente VPN de AnyConnect SSL para el Cliente de movilidad Cisco AnyConnect Secure si uno no se configura ya.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Versión 9(2)1 de las 5500 Series de Cisco ASA
• Versión 7.1(6) del Cisco Adaptive Security Device Manager (ASDM)
• Cliente VPN de Cisco versión 5.0.07.0440
• Versión 3.1.05152 del Cliente de movilidad Cisco AnyConnect Secure

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Diagrama de la red

El cliente está situado en una red típica del small office/home office (SOHO) y conecta a través de Internet con la oficina principal.

Antecedentes

A diferencia de un escenario clásico del Túnel dividido en el cual todo el tráfico de Internet se envíe unencrypted, cuando usted habilita el acceso del LAN local para los clientes VPN, permite que esos clientes comuniquen unencrypted con solamente los dispositivos en la red en la cual él está situada. Por ejemplo, un cliente que no se prohibe el acceso del LAN local mientras que está conectado con el ASA del hogar puede imprimir a su propia impresora pero no acceder Internet sin primero el envío del tráfico sobre el túnel.

Una lista de acceso se utiliza para permitir el acceso del LAN local más o menos de la misma manera que el Túnel dividido esté configurado en el ASA. Sin embargo, en vez de definir qué redes deben ser cifradas, la lista de acceso en este caso define qué redes no deben ser cifradas. También, a diferencia del escenario del Túnel dividido, las redes reales en la lista no necesitan ser conocidas. En lugar, el ASA suministra una red predeterminada de 0.0.0.0/255.255.255.255, que se entiende para significar el LAN local del cliente.

Nota: Cuando el cliente está conectado y configurado para el acceso del LAN local, usted no puede imprimir u hojear por nombre en el LAN local. Sin embargo, usted puede hojear o imprimir por la dirección IP. Vea la sección del Troubleshooting de este documento para más información así como de las soluciones alternativas para esta situación.

Configure el acceso del LAN local para los clientes VPN o el cliente seguro de la movilidad de AnyConnect

Complete estas tareas para permitir el acceso de los Clientes Cisco VPN o de Clientes de movilidad Cisco AnyConnect Secure a su LAN local mientras que está conectado con el ASA:

• Configure el ASA vía el ASDM o configure el ASA vía el CLI
• Configure al Cliente de movilidad Cisco AnyConnect Secure

Configure el ASA vía el ASDM

Complete estos pasos en el ASDM para permitir que los clientes VPN tengan acceso del LAN local mientras que está conectado con el ASA:

1. Elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > la directiva del grupo y seleccione la directiva del grupo en la cual usted desea habilitar el acceso del LAN local. Entonces haga clic editan.
   
   

   

   
   
   
2. Va a avanzado > el Túnel dividido.
   
   

   

   
   
   
3. Desmarque el cuadro de la herencia para la directiva y elija excluyen la lista de red abajo.
   
   

   

   
   
   
4. Desmarque el cuadro de la herencia para la lista de red y después haga clic manejan para iniciar al administrador de la lista de control de acceso (ACL).
   
   

   

   
   
   
5. Dentro del Administrador de ACL, elija Add > Add ACL... para crear una nueva lista de acceso.
   
   

   

   
   
   
6. Asigne un nombre al ACL y haga clic en OK.
   
   

   

   
   
   
7. Una vez que se crea el ACL, elija agregan > Add ACE… para agregar una Entrada de control de acceso (ACE).
   
   

   

   
   
   
8. Defina ACE que corresponde al LAN local del cliente.
   
   
   1. Elija el permiso.
   2. Elija una dirección IP de 0.0.0.0
   3. Elija un netmask de /32.
   4. (Opcional) proporcione una descripción.
   5. Haga clic en OK.
      
      

      

   
   
   
9. Haga clic en OK para salir del Administrador de ACL.
   
   

   

   
   
   
10. Esté seguro que el ACL que usted acaba de crear está seleccionado para la lista de red del túnel dividido.
    
    

    

    
    
    
11. Haga clic en OK para volver a la configuración de la Política de Grupo.
    
    

    

    
    
    
12. Haga clic se aplican y después envían (si procede) para enviar los comandos al ASA.
    
    

    

Configure el ASA vía el CLI

Bastante que el ASDM, usted puede completar estos pasos en el ASA CLI para permitir que los clientes VPN tengan acceso del LAN local mientras que está conectado con el ASA:

1. Ingrese al modo de configuración.
   
   

   ciscoasa>enable
   Password:
   ciscoasa#configure terminal
   ciscoasa(config)#

2. Cree la lista de acceso para permitir el acceso del LAN local.
   
   

   ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
   ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
   

   Precaución: Debido a los cambios en la sintaxis ACL entre las versiones de software 8.x ASA a 9.x, este ACL permited no más y los admins considerarán este mensaje de error cuando intentan configurarlo:
   host estándar 0.0.0.0 del permiso de la prueba de la lista de acceso rtpvpnoutbound6(config)#
   ERROR: dirección IP no válida
   
   La única cosa se permite que es:
   permiso estándar any4 de la prueba de la lista de acceso rtpvpnoutbound6(config)#
   
   Esto es un problema conocido y ha sido dirigido por el Id. de bug Cisco CSCut3131. Actualización a una versión con el arreglo para este bug para poder configurar el acceso del LAN local.

3. Ingrese el modo de la configuración de la política del grupo para la directiva que usted desea modificar.
   
   

   ciscoasa(config)#group-policy hillvalleyvpn attributes
   ciscoasa(config-group-policy)#

4. Especifique la directiva del túnel dividido. En este caso, la directiva excludespecified.
   
   

   ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
   

5. Especifique la lista de acceso del túnel dividido. En este caso, la lista es Local_LAN_Access.
   
   

   ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
   

6. Ejecutar este comando:
   
   

   ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
   

7. Asocie la política del grupo al grupo de túnel
   
   

   ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
   

8. Dé salida a los dos modos de configuración.
   
   

   ciscoasa(config-group-policy)#exit
   ciscoasa(config)#exit
   ciscoasa#

9. Salve la configuración al RAM no volátil (NVRAM) y al Presione ENTER cuando está indicado para especificar el nombre de archivo de origen.
   
   

   ciscoasa#copy running-config startup-config
   
   Source filename [running-config]?
   Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
   
   3847 bytes copied in 3.470 secs (1282 bytes/sec)
   ciscoasa#

Configure al Cliente de movilidad Cisco AnyConnect Secure

Para configurar al Cliente de movilidad Cisco AnyConnect Secure, refiera al establecimiento la conexión VPN SSL con la sección de SVC de ASA 8.x: Permita el Túnel dividido para el cliente VPN de AnyConnect en el ejemplo de configuración ASA.

Fractura-excluya el Tunelización requiere que usted habilita AllowLocalLanAccess en el cliente de AnyConnect. Todos fractura-excluyen el Tunelización se miran como acceso del LAN local. Para utilizar la característica de la exclusión del Túnel dividido, usted debe habilitar la preferencia de AllowLocalLanAccess en las preferencias del cliente VPN de AnyConnect. Por abandono, se inhabilita el acceso del LAN local. 

Para permitir el acceso del LAN local, y por lo tanto fractura-excluir el Tunelización, un administrador de la red puede habilitarlo en el perfil o los usuarios pueden habilitarlo en sus configuraciones de las preferencias (véase la imagen en la siguiente sección). Para permitir el acceso del LAN local, un usuario selecciona el cuadro de verificación de acceso del LAN local de la permit si el Túnel dividido se habilita en el gateway seguro y se configura con la fractura-túnel-directiva excluye la directiva especificada. Además, usted puede configurar el perfil del cliente VPN si el acceso del LAN local se permite con los <LocalLanAccess UserControllable= >true</LocalLanAccess> " verdadero ".

Preferencias del usuario

Aquí están las selecciones que usted debe hacer en la lengueta de las preferencias en el Cliente de movilidad Cisco AnyConnect Secure para permitir el acceso del LAN local.

Ejemplo del perfil XML

Aquí está un ejemplo de cómo configurar el perfil del cliente VPN con el XML.

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
 xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
    <ClientInitialization>
        <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
        <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
        <ShowPreConnectMessage>false</ShowPreConnectMessage>
        <CertificateStore>All</CertificateStore>
        <CertificateStoreOverride>false</CertificateStoreOverride>
        <ProxySettings>Native</ProxySettings>
        <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
        <AuthenticationTimeout>12</AuthenticationTimeout>
        <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
        <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
        <LocalLanAccess UserControllable="true">true</LocalLanAccess>
        <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
        <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
        <AutoReconnect UserControllable="false">true
            <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
            </AutoReconnectBehavior>
        </AutoReconnect>
        <AutoUpdate UserControllable="false">true</AutoUpdate>
        <RSASecurIDIntegration UserControllable="false">Automatic
        </RSASecurIDIntegration>
        <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
        <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
        <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
        <PPPExclusion UserControllable="false">Disable
            <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
        </PPPExclusion>
        <EnableScripting UserControllable="false">false</EnableScripting>
        <EnableAutomaticServerSelection UserControllable="false">false
            <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
            <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
        </EnableAutomaticServerSelection>
        <RetainVpnOnLogoff>false
        </RetainVpnOnLogoff>
    </ClientInitialization>
</AnyConnectProfile>

Verificación

Complete los pasos en estas secciones para verificar su configuración.

• Vea el DARDO
• Pruebe el acceso del LAN local con el ping

Conecte a su Cliente de movilidad Cisco AnyConnect Secure con el ASA para verificar su configuración.

1. Elija su Entrada de conexión de la lista de servidores y el tecleo conecta.
   
   

   

   
   
   
2. Elija la ventana avanzada para todos los componentes > las estadísticas… para visualizar al modo túnel. 
   
   

   

   
   
   
3. Haga clic la lengueta de los detalles de la ruta para ver las rutas a las cuales el Cliente de movilidad Cisco AnyConnect Secure todavía tiene Acceso local.
   
   En este ejemplo, no prohiben el cliente el acceso del LAN local a 10.150.52.0/22 y a 169.254.0.0/16 mientras que el resto del tráfico se cifra y se envía a través del túnel.
   
   

Cliente de movilidad Cisco AnyConnect Secure

Cuando usted examina los registros de AnyConnect de los diagnósticos y la herramienta de informe (DARDO) lía, usted puede determinar independientemente de si el parámetro que permite el acceso del LAN local está fijado.

******************************************

Date        : 11/25/2011
Time        : 13:01:48
Type        : Information
Source      : acvpndownloader

Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP: 
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains: 
TrustedDNSServers: 
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true



******************************************

Pruebe el acceso del LAN local con el ping

Una manera adicional de probar que el cliente VPN todavía tiene acceso del LAN local mientras que es tunneled a la cabecera VPN debe utilizar el comando ping en la línea de comando de Microsoft Windows. Aquí está un ejemplo donde está 192.168.0.0/24 el LAN local del cliente y otro host está presente en la red con una dirección IP de 192.168.0.3.

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

Incapaz de imprimir o de hojear por nombre

Cuando el cliente VPN está conectado y configurado para el acceso del LAN local, usted no puede imprimir u hojear por nombre en el LAN local. Hay dos opciones disponibles para trabajar alrededor de esta situación:

• Hojee o imprima por la dirección IP.
  
  
  • Para hojear, en vez del \ \ sharename del sintaxis, utilice \ \ x.x.x.x del sintaxis donde está la dirección IP x.x.x.x de la computadora host.
    
    
  • Para imprimir, cambie las propiedades para la impresora de red para utilizar una dirección IP en vez de un nombre. Por ejemplo, en vez del \ \ sharename \ printername del sintaxis, \ \ x.x.x.x \ printername del uso, donde está una dirección IP x.x.x.x.
• Cree o modifique el archivo del cliente VPN LMHOSTS. Un archivo LMHOSTS en Microsoft Windows PC permite que usted cree las correlaciones estáticas entre los nombres de host y los IP Addresses. Por ejemplo, un archivo LMHOSTS pudo parecer esto:
  
  

  192.168.0.3 SERVER1
  192.168.0.4 SERVER2
  192.168.0.5 SERVER3

  
  En la edición profesional del Microsoft Windows XP, el archivo LMHOSTS está situado en %SystemRoot%\System32\Drivers\Etc. Refiera a su documentación de Microsoft o artículo de la base de conocimiento de Microsoft 314108 para más información.

Información Relacionada

• PIX/ASA 7.x como servidor VPN remoto que usa el ejemplo de la Configuración de ASDM
• Ejemplo de Configuración de SSL VPN Client (SVC) en IOS con SDM
• Cisco ASA 5500 Series Adaptive Security Appliances
• Soporte Técnico y Documentación - Cisco Systems