El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo permitir que Cisco VPN Client o Cisco AnyConnect Secure Mobility Client sólo accedan a su LAN local mientras se tunelizan en un Cisco Adaptive Security Appliance (ASA) 5500 Series o ASA 5500-X Series. Esta configuración permite a los clientes VPN de Cisco o a Cisco AnyConnect Secure Mobility Client acceder de forma segura a los recursos corporativos a través de IPsec, Secure Sockets Layer (SSL) o Internet Key Exchange versión 2 (IKEv2) y, aun así, ofrece al cliente la posibilidad de llevar a cabo actividades como la impresión en la ubicación del cliente. Si se permite, el tráfico destinado a Internet sigue tunelizado al ASA.
Nota: Esta no es una configuración para la tunelización dividida, donde el cliente tiene acceso no cifrado a Internet mientras está conectado al ASA o PIX. Consulte PIX/ASA 7.x: Permita la Tunelización Dividida para Clientes VPN en el Ejemplo de Configuración de ASA para obtener información sobre cómo configurar la tunelización dividida en el ASA.
Este documento asume que ya existe una configuración de VPN de acceso remoto funcional en el ASA.
Consulte Ejemplo de Configuración de PIX/ASA 7.x como Servidor VPN Remoto con ASDM para Cisco VPN Client si uno no está configurado todavía.
Consulte Ejemplo de Configuración de ASA 8.x VPN Access con AnyConnect SSL VPN Client para Cisco AnyConnect Secure Mobility Client si no se ha configurado todavía.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
El cliente se encuentra en una red típica de oficinas pequeñas/oficinas domésticas (SOHO) y se conecta a través de Internet a la oficina principal.
A diferencia de un escenario clásico de tunelización dividida en el que todo el tráfico de Internet se envía sin cifrar, cuando habilita el acceso LAN local para los clientes VPN, permite que esos clientes se comuniquen sin cifrar con sólo los dispositivos de la red en la que se encuentran. Por ejemplo, un cliente al que se le permite el acceso LAN local mientras está conectado al ASA desde casa puede imprimir a su propia impresora pero no acceder a Internet sin enviar primero el tráfico a través del túnel.
Se utiliza una lista de acceso para permitir el acceso LAN local de la misma manera que se configura la tunelización dividida en el ASA. Sin embargo, en lugar de definir qué redes deben cifrarse, la lista de acceso en este caso define qué redes no deben cifrarse. Además, a diferencia del escenario de tunelización dividida, no es necesario conocer las redes reales de la lista. En su lugar, ASA proporciona una red predeterminada de 0.0.0.0/255.255.255.255, lo que se entiende como la LAN local del cliente.
Nota: Cuando el cliente está conectado y configurado para acceso LAN local, no puede imprimir ni navegar por el nombre en la LAN local. Sin embargo, puede examinar o imprimir por dirección IP. Consulte la sección Solución de problemas de este documento para obtener más información y soluciones para esta situación.
Complete estas tareas para permitir que los clientes de Cisco VPN o Cisco AnyConnect Secure Mobility Client accedan a su LAN local mientras están conectados al ASA:
Complete estos pasos en el ASDM para permitir que los clientes VPN tengan acceso LAN local mientras están conectados al ASA:
En lugar de utilizar el ASDM, puede completar estos pasos en la CLI de ASA para permitir que los clientes VPN tengan acceso LAN local mientras están conectados al ASA:
ciscoasa>enable
Password:
ciscoasa#configure terminal
ciscoasa(config)#
ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
Precaución: Debido a los cambios en la sintaxis de ACL entre las versiones 8.x a 9.x del software ASA, esta ACL ya no está permitida y los administradores verán este mensaje de error cuando intenten configurarla:
rtpvpnoutbound6(config)# access-list test standard permit host 0.0.0.0
ERROR: dirección IP no válida
Lo único permitido es:
rtpvpnoutbound6(config)# access-list test standard permit any4
Este es un problema conocido y ha sido abordado por el ID de bug de Cisco CSCut3131. Actualice a una versión con la corrección de este error para poder configurar el acceso LAN local.
ciscoasa(config)#group-policy hillvalleyvpn attributes
ciscoasa(config-group-policy)#
ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
ciscoasa(config-group-policy)#exit
ciscoasa(config)#exit
ciscoasa#
ciscoasa#copy running-config startup-config
Source filename [running-config]?
Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
3847 bytes copied in 3.470 secs (1282 bytes/sec)
ciscoasa#
Para configurar Cisco AnyConnect Secure Mobility Client, refiérase a la sección Establecimiento de la Conexión SSL VPN con SVC de ASA 8.x : Permita la Tunelización Dividida para AnyConnect VPN Client en el Ejemplo de Configuración de ASA.
La tunelización dividida-excluida requiere que habilite AllowLocalLanAccess en AnyConnect Client. Toda la tunelización dividida excluida se considera acceso LAN local. Para utilizar la función de exclusión de la tunelización dividida, debe habilitar la preferencia AllowLocalLan Access en las preferencias de AnyConnect VPN Client. De forma predeterminada, el acceso LAN local está desactivado.
Para permitir el acceso LAN local y, por lo tanto, la tunelización dividida-excluida, un administrador de red puede habilitarlo en el perfil o los usuarios pueden habilitarlo en sus preferencias de configuración (consulte la imagen en la siguiente sección). Para permitir el acceso LAN local, un usuario selecciona la casilla de verificación Permitir acceso LAN local si la tunelización dividida está habilitada en el gateway seguro y se configura con la política de exclusión de política de túnel dividido. Además, puede configurar el perfil de cliente VPN si se permite el acceso LAN local con <LocalLanAccess UserControablaba="true">true</LocalLanAccess>.
Estas son las selecciones que debe realizar en la ficha Preferencias de Cisco AnyConnect Secure Mobility Client para permitir el acceso local a LAN.
Este es un ejemplo de cómo configurar el perfil de cliente VPN con XML.
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic
</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
</AnyConnectProfile>
Complete los pasos de estas secciones para verificar su configuración.
Conecte Cisco AnyConnect Secure Mobility Client al ASA para verificar su configuración.
Al examinar los registros de AnyConnect desde el paquete Diagnostics and Reporting Tool (DART), puede determinar si se ha establecido o no el parámetro que permite el acceso local a la LAN.
******************************************
Date : 11/25/2011
Time : 13:01:48
Type : Information
Source : acvpndownloader
Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP:
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains:
TrustedDNSServers:
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true
******************************************
Una manera adicional de probar que VPN Client todavía tiene acceso LAN local mientras se tuneliza al centro distribuidor VPN es utilizar el comando ping en la línea de comandos de Microsoft Windows. Aquí hay un ejemplo donde la LAN local del cliente es 192.168.0.0/24 y otro host está presente en la red con una dirección IP de 192.168.0.3.
C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.
Cuando el VPN Client está conectado y configurado para el acceso LAN local, no puede imprimir ni navegar por el nombre en la LAN local. Hay dos opciones disponibles para solucionar esta situación:
192.168.0.3 SERVER1 192.168.0.4 SERVER2 192.168.0.5 SERVER3