Configuration de l'accès à distance ASA IKEv2 avec EAP-PEAP et client Windows natif

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (680.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (806.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:17 juillet 2015
ID du document:119208

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document fournit un exemple de configuration pour un appareil de sécurité adaptatif (ASA) Cisco version 9.3.2 et ultérieure qui permet à l'accès VPN distant d'utiliser le protocole IKEv2 (Internet Key Exchange Protocol) avec l'authentification EAP (Extensible Authentication Protocol) standard. Cela permet à un client Microsoft Windows 7 natif (et à tout autre client IKEv2 standard) de se connecter à l'ASA avec l'authentification IKEv2 et EAP.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissances de base sur VPN et IKEv2
    • Connaissances de base en authentification, autorisation et comptabilité (AAA) et RADIUS
    • Expérience avec la configuration VPN ASA
    • Expérience de la configuration ISE (Identity Services Engine)

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Microsoft Windows 7
    • Logiciel Cisco ASA, versions 9.3.2 et ultérieures
    • Cisco ISE, versions 1.2 et ultérieures

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Remarques sur AnyConnect Secure Mobility Client

    Le client Windows IKEv2 natif ne prend pas en charge le split tunnel (il n'existe aucun attribut CONF REPLY qui pourrait être accepté par le client Windows 7), de sorte que la seule stratégie possible avec le client Microsoft est de tunnelliser tout le trafic (sélecteurs de trafic 0/0). En cas de besoin d’une politique de split tunnel spécifique, AnyConnect doit être utilisé.

    AnyConnect ne prend pas en charge les méthodes EAP normalisées qui sont terminées sur le serveur AAA (PEAP, Transport Layer Security). S'il est nécessaire de mettre fin aux sessions EAP sur le serveur AAA, le client Microsoft peut être utilisé.

    Configurer

    Remarque : Utilisez l'Outil de recherche de commande (clients inscrits seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

    Diagramme du réseau

    119208-config-asa-01

    L'ASA est configuré pour s'authentifier avec un certificat (le client doit faire confiance à ce certificat). Le client Windows 7 est configuré pour s'authentifier avec EAP (EAP-PEAP).

    L'ASA sert de passerelle VPN pour mettre fin à la session IKEv2 du client. ISE agit comme un serveur AAA qui met fin à la session EAP du client. Les paquets EAP sont encapsulés dans des paquets IKE_AUTH pour le trafic entre le client et l'ASA (IKEv2), puis dans des paquets RADIUS pour le trafic d'authentification entre l'ASA et l'ISE.

    Certificats

    L'autorité de certification Microsoft (CA) a été utilisée afin de générer le certificat pour l'ASA. Les exigences de certificat pour être accepté par le client natif de Windows 7 sont les suivantes :

    • L'extension Extended Key Usage (EKU) doit inclure l'authentification du serveur (le modèle « Web server » a été utilisé dans cet exemple).
    • Le champ Subject-Name doit inclure le nom de domaine complet (FQDN) qui sera utilisé par le client afin de se connecter (dans cet exemple ASAv.example.com).

    Pour plus d'informations sur le client Microsoft, consultez Dépannage des connexions VPN IKEv2.

    Remarque : Android 4.x est plus restrictif et nécessite le nom alternatif de sujet correct conformément à la RFC 6125. Pour plus d'informations sur Android, consultez IKEv2 d'Android strongSwan vers Cisco IOS avec authentification EAP et RSA.

    Afin de générer une demande de signature de certificat sur l'ASA, cette configuration a été utilisée :

    hostname ASAv
    domain-name example.com

    crypto ca trustpoint TP
     enrollment terminal

    crypto ca authenticate TP
    crypto ca enroll TP

    ISE

    Étape 1 : ajout de l'ASA aux périphériques réseau sur l'ISE

    Choisissez Administration > Network Devices. Définissez un mot de passe pré-partagé qui sera utilisé par l'ASA.

    Étape 2 : création d'un nom d'utilisateur dans le magasin local

    Choisissez Administration > Identities > Users. Créez le nom d'utilisateur requis.

    Tous les autres paramètres sont activés par défaut pour que l'ISE authentifie les terminaux avec EAP-PEAP (Protected Extensible Authentication Protocol).

    ASA

    La configuration de l'accès à distance est similaire pour IKEv1 et IKEv2.

    aaa-server ISE2 protocol radius
    aaa-server ISE2 (inside) host 10.62.97.21
     key cisco

    group-policy AllProtocols internal
    group-policy AllProtocols attributes
     vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless

    ip local pool POOL 192.168.1.10-192.168.1.20 mask 255.255.255.0

    crypto ipsec ikev2 ipsec-proposal ipsec-proposal
     protocol esp encryption aes-256 aes-192 aes
     protocol esp integrity sha-256 sha-1 md5

    crypto dynamic-map DYNMAP 10 set ikev2 ipsec-proposal ipsec-proposal
    crypto map MAP 10 ipsec-isakmp dynamic DYNMAP
    crypto map MAP interface outside

    crypto ikev2 policy 10
     encryption 3des
     integrity sha
     group 2
     prf sha
     lifetime seconds 86400

    Étant donné que Windows 7 envoie une adresse de type IKE-ID dans le paquet IKE_AUTH, le DefaultRAGroup doit être utilisé afin de s'assurer que la connexion atterrit sur le groupe de tunnels correct. L'ASA s'authentifie avec un certificat (authentification locale) et attend du client qu'il utilise EAP (authentification à distance). En outre, l'ASA doit envoyer spécifiquement une demande d'identité EAP pour que le client réponde avec une réponse d'identité EAP (query-identity).

    tunnel-group DefaultRAGroup general-attributes
     address-pool POOL
     authentication-server-group ISE
     default-group-policy AllProtocols
    tunnel-group DefaultRAGroup ipsec-attributes
    ikev2 remote-authentication eap query-identity
     ikev2 local-authentication certificate TP

    Enfin, IKEv2 doit être activé et le certificat approprié doit être utilisé.

    crypto ikev2 enable outside client-services port 443
    crypto ikev2 remote-access trustpoint TP

    Windows 7

    Étape 1 : installation du certificat CA

    Pour faire confiance au certificat présenté par l'ASA, le client Windows doit faire confiance à son autorité de certification. Ce certificat d'autorité de certification doit être ajouté au magasin de certificats de l'ordinateur (et non au magasin d'utilisateurs). Le client Windows utilise le magasin d'ordinateurs afin de valider le certificat IKEv2.

    Afin d'ajouter l'autorité de certification, choisissez MMC > Add or Remove Snap-ins > Certificates.

    119208-config-asa-02

    Activez la case d'option Compte d'ordinateur.

    119208-config-asa-03

    Importez l'autorité de certification dans les autorités de certification racine de confiance.

    119208-config-asa-04

    Si le client Windows n'est pas en mesure de valider le certificat présenté par l'ASA, il signale :

    13801: IKE authentication credentials are unacceptable

    Étape 2 : configuration de la connexion VPN

    Afin de configurer la connexion VPN à partir du Centre Réseau et partage, choisissez Connect to a Workplace afin de créer une connexion VPN.

    119208-config-asa-05

    Sélectionnez Utiliser ma connexion Internet (VPN).

    119208-config-asa-06

    Configurez l'adresse avec un nom de domaine complet ASA. Assurez-vous qu'elle est correctement résolue par le serveur de noms de domaine (DNS).

    119208-config-asa-07

    Si nécessaire, ajustez les propriétés (telles que la validation du certificat) dans la fenêtre Propriétés EAP protégées.

    119208-config-asa-08

    Vérifier

    Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

    L'Outil d'interprétation de sortie (clients enregistrés seulement) prend en charge certaines commandes d'affichage. Utilisez l'Outil d'interprétation de sortie afin de visualiser une analyse de commande d'affichage de sortie .

    Client Windows

    Lorsque vous vous connectez, saisissez vos informations d'identification.

    119208-config-asa-09

    Une fois l'authentification réussie, la configuration IKEv2 est appliquée.

    119208-config-asa-10

    La session est active.

    119208-config-asa-11

    La table de routage a été mise à jour avec la route par défaut avec l’utilisation d’une nouvelle interface avec la métrique basse.

    C:\Users\admin>route print
    ===========================================================================
    Interface List
     41...........................IKEv2 connection to ASA
     11...08 00 27 d2 cb 54 ......Karta Intel(R) PRO/1000 MT Desktop Adapter
      1...........................Software Loopback Interface 1
     15...00 00 00 00 00 00 00 e0 Karta Microsoft ISATAP
     12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
     22...00 00 00 00 00 00 00 e0 Karta Microsoft ISATAP #4
    ===========================================================================

    IPv4 Route Table
    ===========================================================================
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0     192.168.10.1    192.168.10.68   4491
              0.0.0.0          0.0.0.0         On-link      192.168.1.10     11
         10.62.71.177  255.255.255.255     192.168.10.1    192.168.10.68   4236
            127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
            127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
      127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
         192.168.1.10  255.255.255.255         On-link      192.168.1.10    266
         192.168.10.0    255.255.255.0         On-link     192.168.10.68   4491
        192.168.10.68  255.255.255.255         On-link     192.168.10.68   4491
       192.168.10.255  255.255.255.255         On-link     192.168.10.68   4491
            224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
            224.0.0.0        240.0.0.0         On-link     192.168.10.68   4493
            224.0.0.0        240.0.0.0         On-link      192.168.1.10     11
      255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
      255.255.255.255  255.255.255.255         On-link     192.168.10.68   4491
      255.255.255.255  255.255.255.255         On-link      192.168.1.10    266
    ===========================================================================

    Journaux

    Après une authentification réussie, l'ASA signale :

    ASAv(config)# show vpn-sessiondb detail ra-ikev2-ipsec 

    Session Type: Generic Remote-Access IKEv2 IPsec Detailed

    Username     : cisco                  Index        : 13
    Assigned IP  : 192.168.1.10           Public IP    : 10.147.24.166
    Protocol     : IKEv2 IPsecOverNatT
    License      : AnyConnect Premium
    Encryption   : IKEv2: (1)3DES  IPsecOverNatT: (1)AES256
    Hashing      : IKEv2: (1)SHA1  IPsecOverNatT: (1)SHA1
    Bytes Tx     : 0                      Bytes Rx     : 7775
    Pkts Tx      : 0                      Pkts Rx      : 94
    Pkts Tx Drop : 0                      Pkts Rx Drop : 0
    Group Policy : AllProtocols           Tunnel Group : DefaultRAGroup
    Login Time   : 17:31:34 UTC Tue Nov 18 2014
    Duration     : 0h:00m:50s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                    VLAN         : none
    Audt Sess ID : c0a801010000d000546b8276
    Security Grp : none

    IKEv2 Tunnels: 1
    IPsecOverNatT Tunnels: 1

    IKEv2:
      Tunnel ID    : 13.1
      UDP Src Port : 4500                   UDP Dst Port : 4500
      Rem Auth Mode: EAP
      Loc Auth Mode: rsaCertificate
      Encryption   : 3DES                   Hashing      : SHA1
      Rekey Int (T): 86400 Seconds          Rekey Left(T): 86351 Seconds
      PRF          : SHA1                   D/H Group    : 2
      Filter Name  : 

    IPsecOverNatT:
      Tunnel ID    : 13.2
      Local Addr   : 0.0.0.0/0.0.0.0/0/0
      Remote Addr  : 192.168.1.10/255.255.255.255/0/0
      Encryption   : AES256                 Hashing      : SHA1                   
      Encapsulation: Tunnel                 
      Rekey Int (T): 28800 Seconds          Rekey Left(T): 28750 Seconds          
      Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
      Bytes Tx     : 0                      Bytes Rx     : 7834                   
      Pkts Tx      : 0                      Pkts Rx      : 95   

    Les journaux ISE indiquent une authentification réussie avec des règles d'authentification et d'autorisation par défaut.

    119208-config-asa-12

    Les détails indiquent la méthode PEAP.

    119208-config-asa-13

    Débogages sur l'ASA

    Les débogages les plus importants incluent :

    ASAv# debug crypto ikev2 protocol 32
    <most debugs omitted for clarity....

    Paquet IKE_SA_INIT reçu par l'ASA (inclut les propositions IKEv2 et l'échange de clés pour Diffie-Hellman (DH)) :

    IKEv2-PROTO-2: Received Packet [From 10.147.24.166:500/To 10.62.71.177:500/VRF i0:f0] 
    Initiator SPI : 7E5B69A028355701 - Responder SPI : 0000000000000000 Message id: 0
    IKEv2 IKE_SA_INIT Exchange REQUESTIKEv2-PROTO-3: Next payload: SA,
     version: 2.0 Exchange type: IKE_SA_INIT, flags: INITIATOR Message id: 0, length: 528 
    Payload contents: 
     SA  Next payload: KE, reserved: 0x0, length: 256
      last proposal: 0x2, reserved: 0x0, length: 40
      Proposal: 1, Protocol id: IKE, SPI size: 0, #trans: 4    last transform: 0x3,
     reserved: 0x0: length: 8
    .....

    Réponse IKE_SA_INIT à l'initiateur (inclut les propositions IKEv2, l'échange de clés pour DH et la demande de certificat) :

    IKEv2-PROTO-2: (30): Generating IKE_SA_INIT message
    IKEv2-PROTO-2: (30): IKE Proposal: 1, SPI size: 0 (initial negotiation), 
    Num. transforms: 4
    (30):    3DES(30):    SHA1(30):    SHA96(30):    DH_GROUP_1024_MODP/Group
     2IKEv2-PROTO-5:
     Construct Vendor Specific Payload: DELETE-REASONIKEv2-PROTO-5: Construct Vendor
     Specific Payload: (CUSTOM)IKEv2-PROTO-5: Construct Notify Payload:
     NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5: Construct Notify Payload:
     NAT_DETECTION_DESTINATION_IPIKEv2-PROTO-5: Construct Vendor Specific Payload:
     FRAGMENTATION(30):  
    IKEv2-PROTO-2: (30): Sending Packet [To 10.147.24.166:500/From
     10.62.71.177:500/VRF i0:f0]

    IKE_AUTH pour le client avec IKE-ID, demande de certificat, ensembles de transformation proposés, configuration demandée et sélecteurs de trafic :

    IKEv2-PROTO-2: (30): Received Packet [From 10.147.24.166:4500/To 10.62.71.177:500/VRF
     i0:f0] 
    (30): Initiator SPI : 7E5B69A028355701 - Responder SPI : 1B1A94C7A7739855 Message id: 1
    (30): IKEv2 IKE_AUTH Exchange REQUESTIKEv2-PROTO-3: (30): Next payload: ENCR,
     version: 2.0 (30): Exchange type: IKE_AUTH, flags: INITIATOR (30): Message id: 1,
     length: 948(30):

    Réponse IKE_AUTH de l'ASA qui inclut une demande d'identité EAP (premier paquet avec extensions EAP). Ce paquet inclut également le certificat (s'il n'y a pas de certificat correct sur l'ASA, il y a une défaillance) :

    IKEv2-PROTO-2: (30): Generating EAP request
    IKEv2-PROTO-2: (30): Sending Packet [To 10.147.24.166:4500/From 10.62.71.177:4500/VRF
     i0:f0]

    Réponse EAP reçue par l'ASA (longueur 5, charge utile : cisco) :

    (30): REAL Decrypted packet:(30): Data&colon; 14 bytes
    (30):  EAP(30):   Next payload: NONE, reserved: 0x0, length: 14
    (30):     Code: response: id: 36, length: 10
    (30):     Type: identity
    (30): EAP data&colon; 5 bytes

    Plusieurs paquets sont ensuite échangés dans le cadre du protocole EAP-PEAP. Enfin, la réussite EAP est reçue par l'ASA et transmise au demandeur :

    Payload contents: 
    (30):  EAP(30):   Next payload: NONE, reserved: 0x0, length: 8
    (30):     Code: success: id: 76, length: 4

    Authentification de l'homologue réussie :

    IKEv2-PROTO-2: (30): Verification of peer's authenctication data PASSED

    Et la session VPN est terminée correctement.

    Niveau paquet

    La demande d'identité EAP est encapsulée dans « Extensible Authentication » de l'IKE_AUTH envoyé par l'ASA. En plus de la demande d'identité, IKE_ID et les certificats sont envoyés.

    119208-config-asa-14

    Tous les paquets EAP suivants sont encapsulés dans IKE_AUTH. Une fois que le demandeur a confirmé la méthode (EAP-PEAP), il commence à créer un tunnel SSL (Secure Sockets Layer) qui protège la session MSCHAPv2 utilisée pour l'authentification.

    119208-config-asa-15

    Après l'échange de plusieurs paquets, l'ISE confirme la réussite.

    119208-config-asa-16

    La session IKEv2 est terminée par l'ASA, la configuration finale (réponse de configuration avec des valeurs telles qu'une adresse IP attribuée), les jeux de transformation et les sélecteurs de trafic sont envoyés au client VPN.

    119208-config-asa-17

    Dépannage

    Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    21-Apr-2016
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Michal Garcarz
      Ingénieur TAC Cisco
    • Eugene Korneychuk
      Ingénieur TAC Cisco
    • Wojciech Cecot
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits