Ejemplo de Configuración de SSL VPN Client (SVC) en IOS con SDM

Introducción

SSL VPN Client (SVC) proporciona un túnel completo para las comunicaciones seguras a la red interna corporativa. Puede configurar el acceso por usuario o puede crear diferentes contextos WebVPN en los que colocar uno o más usuarios.

La SSL VPN o la tecnología WebVPN es soportada en estas plataformas del router IOS:

• 870, 1811, 1841, 2801, 2811, 2821, 2851

• 3725, 3745, 3825, 3845, 7200 y 7301

Puede configurar la tecnología SSL VPN en estos modos:

• Clientless SSL VPN (WebVPN): proporciona un cliente remoto que requiere un navegador web con SSL para acceder a servidores web HTTP o HTTPS en una red de área local (LAN) corporativa. Además, SSL VPN sin cliente proporciona acceso para la exploración de archivos de Windows a través del protocolo Common Internet File System (CIFS). Outlook Web Access (OWA) es un ejemplo de acceso HTTP.

  Consulte Ejemplo de Configuración de SSL VPN sin cliente (WebVPN) en Cisco IOS con SDM para obtener más información sobre la VPN SSL sin cliente.

• Thin-Client SSL VPN (Port Forwarding): proporciona un cliente remoto que descarga un pequeño applet basado en Java y permite el acceso seguro para aplicaciones de protocolo de control de transmisión (TCP) que utilizan números de puerto estáticos. El punto de presencia (POP3), el protocolo simple de transferencia de correo (SMTP), el protocolo de acceso a mensajes de Internet (IMAP), el shell seguro (ssh) y Telnet son ejemplos de acceso seguro. Debido a que los archivos del equipo local cambian, los usuarios deben tener privilegios administrativos locales para utilizar este método. Este método de VPN SSL no funciona con aplicaciones que utilizan asignaciones de puertos dinámicos, como algunas aplicaciones de protocolo de transferencia de archivos (FTP).

  Consulte Ejemplo de Configuración de Thin-Client SSL VPN (WebVPN) IOS con SDM para obtener más información sobre la thin-client SSL VPN.

  Nota: No se admite el protocolo de datagramas de usuario (UDP).

• SSL VPN Client (Modo de túnel completo SVC): descarga un cliente pequeño a la estación de trabajo remota y permite un acceso seguro completo a los recursos en una red corporativa interna. Puede descargar el SVC a una estación de trabajo remota de forma permanente o puede quitar el cliente una vez que se haya cerrado la sesión segura.

Este documento muestra la configuración de un router Cisco IOS para su uso por parte de un SSL VPN Client.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

• Microsoft Windows 2000 o XP

• Navegador Web con SUN JRE 1.4 o una versión posterior o un navegador controlado ActiveX

• Privilegios administrativos locales en el cliente

• Uno de los routers enumerados en la Introducción con una imagen de seguridad avanzada (12.4(6)T o posterior)

• Cisco Security Device Manager (SDM) versión 2.3

  Si Cisco SDM no está cargado en su router, puede obtener una copia gratuita del software de la página de Descarga de Software (sólo clientes registrados). Debe tener una cuenta CCO con un contrato de servicio. Para obtener información detallada sobre la instalación y la configuración del SDM, consulte Cisco Router y Security Device Manager.

• Un certificado digital en el router

  Puede utilizar un certificado autofirmado persistente o una autoridad de certificación externa (CA) para cumplir este requisito. Para obtener más información sobre los certificados autofirmados persistentes, consulte Certificados con firma automática persistente.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Router Cisco IOS serie 3825 con 12.4(9)T

• Security Device Manager (SDM) versión 2.3.1

Nota: La información de este documento se creó a partir de dispositivos en un entorno de laboratorio específico. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Tareas de Preconfiguración

1. Configure el router para el SDM. (Opcional)

   Los routers con la licencia de paquete de seguridad adecuada ya tienen la aplicación SDM cargada en la memoria flash. Consulte Descarga e Instalación del Router y el Administrador de Dispositivos de Seguridad de Cisco (SDM) para obtener y configurar el software.

2. Descargue una copia del SVC en su equipo de administración.

   Puede obtener una copia del archivo del paquete SVC de Descarga de Software: Cisco SSL VPN Client (sólo clientes registrados) . Debe tener una cuenta CCO válida con un contrato de servicio.

3. Establezca la fecha, hora y zona horaria correctas y luego configure un certificado digital en el router.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

El SVC se carga inicialmente en el router de gateway de WebVPN. Cada vez que el cliente se conecta, se descarga una copia del SVC dinámicamente en el PC. Para cambiar este comportamiento, configure el router para que el software permanezca permanentemente en el equipo cliente.

Configuración de SVC en IOS

En esta sección, se presentan los pasos necesarios para configurar las funciones descritas en este documento. Este ejemplo de configuración utiliza el Asistente SDM para habilitar el funcionamiento del SVC en el router IOS.

Complete estos pasos para configurar el SVC en el router IOS:

1. Instalación y Habilitación del Software SVC en el Router IOS

2. Configure un Contexto WebVPN y un Gateway WebVPN con el Asistente SDM

3. Configuración de la Base de Datos de Usuario para Usuarios SVC

4. Configure los Recursos para Mostrar a los Usuarios

Paso 1. Instalación y Habilitación del Software SVC en el Router IOS

Complete estos pasos para instalar y habilitar el software SVC en el router IOS:

1. Abra la aplicación SDM, haga clic en Configurar y, a continuación, haga clic en VPN.

2. Expanda WebVPN y elija Packages.

   

3. Dentro del área Cisco WebVPN Client Software, haga clic en el botón Browse.

   Aparece el cuadro de diálogo Seleccionar ubicación SVC.

   

4. Haga clic en el botón de opción Mi PC y, a continuación, haga clic en Examinar para localizar el paquete SVC en su equipo de administración.

5. Haga clic en Aceptar y, a continuación, haga clic en el botón Instalar.

   

6. Haga clic en Yes y luego en OK.

   En esta imagen se muestra una instalación correcta del paquete SVC:

   

Paso 2. Configure un Contexto WebVPN y un Gateway WebVPN con el Asistente SDM

Complete estos pasos para configurar un contexto WebVPN y un gateway WebVPN:

1. Después de instalar el SVC en el router, haga clic en Configurar y luego haga clic en VPN.

2. Haga clic en WebVPN y haga clic en la pestaña Create WebVPN.

   

3. Marque el botón de radio Create a New WebVPN y luego haga clic en Iniciar la tarea seleccionada.

   Aparecerá el cuadro de diálogo Asistente para WebVPN.

   

4. Haga clic en Next (Siguiente).

   

5. Introduzca la dirección IP del nuevo gateway de WebVPN e introduzca un nombre único para este contexto de WebVPN.

   Puede crear diferentes contextos WebVPN para la misma dirección IP (gateway WebVPN), pero cada nombre debe ser único. Este ejemplo utiliza esta Dirección IP: https://192.168.0.37/sales

6. Haga clic en Next y continúe con el Paso 3.

Paso 3. Configuración de la Base de Datos de Usuario para Usuarios SVC

Para la autenticación, puede utilizar un Servidor AAA, los usuarios locales, o ambos. Este ejemplo de configuración utiliza los usuarios creados localmente para la autenticación.

Complete estos pasos para configurar la base de datos de usuario para los usuarios SVC:

1. Después de completar el Paso 2, haga clic en el botón de opción Locally on this router ubicado en el cuadro de diálogo WebVPN Wizard User Authentication .

   

   Este cuadro de diálogo le permite agregar usuarios a las bases de datos locales.

2. Haga clic en Add e ingrese la información de usuario.

   

3. Haga clic en OK y agregue usuarios adicionales, de ser necesario.

4. Una vez que agregue la cantidad necesaria de usuarios, haga clic en Next y continúe con el Paso 4.

Paso 4. Configure los Recursos para Mostrar a los Usuarios

El cuadro de diálogo Configurar sitios Web de Intranet Asistente para WebVPN permite seleccionar los recursos de intranet que desea exponer a sus clientes SVC.

Complete estos pasos para configurar los recursos para exponer a los usuarios:

1. Después de completar el Paso 3, haga clic en el botón Add ubicado en el cuadro de diálogo Configure Intranet Websites .

   

2. Introduzca un nombre de lista de URL y, a continuación, un encabezado.

   

3. Haga clic en Agregar y elija Sitio Web para agregar los sitios web que desea exponer a este cliente.

4. Ingrese la URL y la información de link, y luego haga clic en Aceptar.

5. Para agregar acceso a OWA Exchange Servers, haga clic en Agregar y elija Correo electrónico.

   

6. Marque la casilla de verificación Outlook Web Access, introduzca la etiqueta URL y la información de enlace y, a continuación, haga clic en Aceptar.

   

7. Después de agregar los recursos deseados, haga clic en Aceptar y, a continuación, haga clic en Siguiente.

   Aparece el cuadro de diálogo Asistente para WebVPN con túnel completo.

   

8. Verifique que la casilla de verificación Enable Full Tunnel esté activada.

9. Cree un conjunto de direcciones IP que los clientes de este contexto WebVPN puedan utilizar. El conjunto de direcciones debe corresponder a las direcciones disponibles y ruteables en su Intranet.

10. Haga clic en los puntos suspensivos (...) junto al campo IP Address Pool y elija Create a new IP Pool.

    

11. En el cuadro de diálogo Add IP Local Pool, ingrese un nombre para el conjunto y haga clic en Add.

    

12. En el cuadro de diálogo Add IP address range (Agregar rango de direcciones IP), ingrese el rango del conjunto de direcciones para los clientes SVC y haga clic en OK.

    Nota: El conjunto de direcciones IP debe estar en un rango de una interfaz conectada directamente al router. Si desea utilizar un rango de conjunto diferente, puede crear una dirección de loopback asociada con su nuevo conjunto para satisfacer este requisito.

13. Click OK.

    

14. Si desea que sus clientes remotos almacenen permanentemente una copia del SVC, haga clic en la casilla de verificación Mantener instalado el Full Tunnel Client Software en la PC del cliente. Desactive esta opción para solicitar al cliente que descargue el software SVC cada vez que se conecte un cliente.

15. Configure las opciones de túnel avanzadas, como tunelización dividida, DNS dividido, configuraciones proxy del navegador y servidores DNS y WNS. Cisco le recomienda configurar al menos servidores DNS y WINS.

    Para configurar opciones avanzadas de túnel, siga estos pasos:

    1. Haga clic en el botón Advanced Tunnel Options.

       

    2. Haga clic en la pestaña DNS and WINS Servers e ingrese las direcciones IP principales para los servidores DNS y WINS.

    3. Para configurar la tunelización dividida y la configuración del proxy del navegador, haga clic en la pestaña Dividir tunelización o Configuraciones del proxy del navegador.

       

16. Después de que configure la opción necesaria, haga clic en Next.

17. Personalice la página del portal WebVPN o seleccione los valores predeterminados.

    La página Personalizar portal WebVPN le permite personalizar el modo en que la página del portal WebVPN aparece para sus clientes.

    

18. Después de configurar la página del portal WebVPN, haga clic en Next, haga clic en Finish y, a continuación, haga clic en OK.

    El asistente de WebVPN envía comandos de tour al router.

19. Haga clic en Aceptar para guardar la configuración.

    Nota: Si recibe un mensaje de error, la licencia de WebVPN puede ser incorrecta. En esta imagen se muestra un mensaje de error de ejemplo:

    

    Para corregir un problema de licencia, siga estos pasos:

    1. Haga clic en Configure, y luego en VPN.

    2. Expanda WebVPN y haga clic en la pestaña Edit WebVPN.

       

    3. Resalte su contexto creado recientemente, y haga clic en el botón Edit.

       

    4. En el campo Maximum Number of users, ingrese el número correcto de usuarios para su licencia.

    5. Haga clic en OK, y luego haga clic en OK.

       Sus comandos se escriben en el archivo de configuración.

    6. Haga clic en Guardar y, a continuación, haga clic en Sí para aceptar los cambios.

Resultados

El ASDM crea estas configuraciones de línea de comandos:

ausnml-3825-01#show run
Building configuration...

Current configuration : 4393 bytes
!
! Last configuration change at 22:24:06 UTC Thu Aug 3 2006 by ausnml
! NVRAM config last updated at 22:28:54 UTC Thu Aug 3 2006 by ausnml
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ausnml-3825-01
!
boot-start-marker
boot system flash c3825-adventerprisek9-mz.124-9.T.bin
boot-end-marker
!
no logging buffered
!
aaa new-model
!

!--- Added by SDM for local aaa authentication.

aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authentication login sdm_vpn_xauth_ml_3 local
aaa authentication login sdm_vpn_xauth_ml_4 local
!
aaa session-id common
!
resource policy
!
ip cef
!
ip domain name cisco.com
!
voice-card 0
 no dspfarm

!--- Digital certificate information.

crypto pki trustpoint TP-self-signed-577183110
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-577183110
 revocation-check none
 rsakeypair TP-self-signed-577183110
!
crypto pki certificate chain TP-self-signed-577183110
 certificate self-signed 01
  3082024E 308201B7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 35373731 38333131 30301E17 0D303630 37323731 37343434 
  365A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3537 37313833 
  31313030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 
  F43F6DD9 32A264FE 4C5B0829 698265DC 6EC65B17 21661972 D363BC4C 977C3810 
  

!--- Output suppressed.

  quit
username wishaw privilege 15 secret 5 $1$r4CW$SeP6ZwQEAAU68W9kbR16U.
username ausnml privilege 15 password 7 044E1F505622434B
username sales privilege 15 secret 5 $1$/Lc1$K.Zt41zF1jSdKZrPgNK1A.
username newcisco privilege 15 secret 5 $1$Axlm$7k5PWspXKxUpoSReHo7IQ1
!
interface GigabitEthernet0/0
 ip address 192.168.0.37 255.255.255.0
 ip virtual-reassembly
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/1
 ip address 172.22.1.151 255.255.255.0
 duplex auto
 speed auto
 media-type rj45

!--- Clients receive an address from this pool.

ip local pool Intranet 172.22.1.75 172.22.1.95
ip route 0.0.0.0 0.0.0.0 172.22.1.1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 100
!
control-plane
!
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
!
scheduler allocate 20000 1000

!--- Identify the gateway and port.

webvpn gateway gateway_1
 ip address 192.168.0.37 port 443 
 http-redirect port 80
 ssl trustpoint TP-self-signed-577183110
 inservice

!--- SVC package file.

webvpn install svc flash:/webvpn/svc.pkg
!

!--- WebVPN context.

webvpn context sales
 title-color #CCCC66
 secondary-color white
 text-color black
 ssl authenticate verify all
!

!--- Resources available to this context.

 url-list "WebServers"
   heading "Intranet Web"
   url-text "SalesSite" url-value "http://172.22.1.10"
   url-text "OWAServer" url-value "http://172.22.1.20/exchange"
 !
 nbns-list NBNS-Servers
   nbns-server 172.22.1.15 master 


!--- Group policy for the context.

 policy group policy_1
   url-list "WebServers"
   functions svc-enabled
   svc address-pool "Intranet"
   svc default-domain "cisco.com"
   svc keep-client-installed
   svc dns-server primary 172.22.1.100
   svc wins-server primary 172.22.1.101
 default-group-policy policy_1
 aaa authentication list sdm_vpn_xauth_ml_4
 gateway gateway_1 domain sales
 max-users 2
 inservice
!

!
end

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Procedimiento

Para probar su configuración, ingrese http://192.168.0.37/sales en un navegador web cliente habilitado para SSL.

Comandos

Varios comandos show se asocian a WebVPN. Puede ejecutar estos comandos en command-line interface (CLI) para mostrar las estadísticas y otra información. Para obtener información detallada sobre los comandos show, consulte Verificar la Configuración WebVPN.

Nota: La Herramienta Output Interpreter (sólo clientes registrados) (OIT) admite determinados comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Troubleshoot

Use esta sección para resolver problemas de configuración.

Problema de Conectividad SSL

Problema: Los clientes VPN SSL no pueden conectarse con el router.

Solución: El número insuficiente de direcciones IP en el conjunto de direcciones IP puede causar este problema. Aumente el número de direcciones IP en el conjunto de direcciones IP en el router para resolver este problema.

Comandos para resolución de problemas

Varios comandos clear se asocian a WebVPN. Para obtener información detallada sobre estos comandos, consulte Uso de los Comandos Clear de WebVPN.

Varios comandos debug se asocian a WebVPN. Para obtener información detallada sobre estos comandos, consulte Uso de los Comandos Debug de WebVPN.

Nota: El uso de los comandos debug puede afectar negativamente a su dispositivo Cisco. Antes de que utilice los comandos debug, consulte Información Importante sobre los Comandos Debug.

Información Relacionada

• Cisco IOS SSLVPN
• SSL VPN - WebVPN
• Ejemplo de Clientless SSL VPN (WebVPN) en Cisco IOS con la Configuración de SDM
• Ejemplo de la Configuración IOS de Thin-Client SSL VPN (WebVPN) con SDM
• Guía de Implementación y Convergencia de WebVPN y DMVPN
• Soporte Técnico y Documentación - Cisco Systems