Ce document fournit une configuration simple pour la gamme Cisco ASA 5500 afin de permettre l'accès VPN SSL (Secure Sockets Layer) sans client aux ressources réseau internes. Le réseau privé virtuel SSL sans client (WebVPN) permet un accès limité mais précieux et sécurisé au réseau de l'entreprise depuis n'importe quel emplacement. Les utilisateurs peuvent accéder aux ressources de l'entreprise à tout moment via un navigateur sécurisé. Aucun client supplémentaire n'est nécessaire pour accéder aux ressources internes. L'accès est fourni à l'aide d'un protocole de transfert hypertexte sur une connexion SSL.
Le VPN SSL sans client fournit un accès sécurisé et facile à un large éventail de ressources Web et d'applications Web et héritées à partir de presque tous les ordinateurs pouvant accéder aux sites HTTP (Hypertext Transfer Protocol Internet). Cela inclut :
Une liste des logiciels pris en charge se trouve dans les plates-formes VPN prises en charge de la gamme Cisco ASA 5500.
Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :
La liste complète des conditions requises se trouve dans les plates-formes VPN prises en charge de la gamme Cisco ASA 5500.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. Tous les périphériques utilisés dans ce document ont commencé par une configuration effacée (par défaut). If your network is live, make sure that you understand the potential impact of any command.
Cet article décrit le processus de configuration de l'ASDM et de l'interface de ligne de commande. Vous pouvez choisir de suivre l'un ou l'autre des outils afin de configurer le WebVPN, mais certaines étapes de configuration ne peuvent être réalisées qu'avec l'ASDM.
Ce document utilise la configuration réseau suivante :
WebVPN utilise le protocole SSL afin de sécuriser les données transférées entre le client et le serveur. Lorsque le navigateur initie une connexion à l'ASA, l'ASA présente son certificat pour s'authentifier auprès du navigateur. Afin de vous assurer que la connexion entre le client et l'ASA est sécurisée, vous devez fournir à l'ASA le certificat signé par l'autorité de certification que le client a déjà confiance. Sinon, le client n'aura pas les moyens de vérifier l'authenticité de l'ASA, ce qui entraîne la possibilité d'une attaque de l'homme du milieu et une mauvaise expérience de l'utilisateur, parce que le navigateur produit un avertissement que la connexion n'est pas fiable.
L'installation du certificat n'entre pas dans le cadre de ce document.
Configurez le WebVPN sur l'ASA en cinq étapes principales :
Choisissez Configuration > Firewall > Advanced > Certificate Management > Identity Certificates > Add. Vous pouvez l'installer avec le fichier pkcs12 ou coller le contenu au format PEM (Privacy Enhanced Mail).
CLI :
ASA(config)# crypto ca import TrustPoint-name pkcs12 "password"
Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
MIIJUQIBAzCCCRcGCSqGSIb3DQEHAaCCCQgEggkEMIIJADCCBf8GCSqGSIb3DQEH
BqCCBfAwggXsAgEAMIIF5QYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQI8F3N
+vkvjUgCAggAgIIFuHFrV6enVflNv3sBByB/yZswhELY5KpeALbXhfrFDpLNncAB
z3xMfg6JkLYR6Fag1KjShg+o4qkDh8r9y9GQpaBt8x3Ozo0JJxSAafmTWqDOEOS/
7mHsaKMoao+pv2LqKTWh0O7No4Ycx75Y5sOhyuQGPhLJRdionbi1s1ioe4Dplx1b
--- output ommited ---
Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
MIIJUQIBAzCCCRcGCSqGSIb3DQEHAaCCCQgEggkEMIIJADCCBf8GCSqGSIb3DQEH
BqCCBfAwggXsAgEAMIIF5QYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQI8F3N
+vkvjUgCAggAgIIFuHFrV6enVflNv3sBByB/yZswhELY5KpeALbXhfrFDpLNncAB
z3xMfg6JkLYR6Fag1KjShg+o4qkDh8r9y9GQpaBt8x3Ozo0JJxSAafmTWqDOEOS/
7mHsaKMoao+pv2LqKTWh0O7No4Ycx75Y5sOhyuQGPhLJRdionbi1s1ioe4Dplx1b
quit
INFO: Import PKCS12 operation completed successfully
Option 2 - Créer un certificat auto-signé.
Choisissez Configuration > Firewall > Advanced > Certificate Management > Identity Certificates > Add.
Cliquez sur la case d'option Add a new identity certificate. Cochez la case Générer un certificat auto-signé. Choisissez un nom commun (CN) correspondant au nom de domaine de l'ASA.
Cliquez sur Nouveau afin de créer la paire de clés pour le certificat. Sélectionnez le type de clé, le nom et la taille.
CLI :
ASA(config)# crypto key generate ecdsa label ECDSA_KEYPAIR noconfirm
ASA(config)# crypto ca trustpoint TrustPoint1
ASA(config-ca-trustpoint)# revocation-check none
ASA(config-ca-trustpoint)# id-usage ssl-ipsec
ASA(config-ca-trustpoint)# no fqdn
ASA(config-ca-trustpoint)# subject-name CN=ASA
ASA(config-ca-trustpoint)# enrollment self
ASA(config-ca-trustpoint)# keypair ECDSA_KEYPAIR
ASA(config-ca-trustpoint)# exit
ASA(config)# crypto ca enroll TrustPoint1 noconfirm
Choisissez Configuration > Remote Access VPN > Advanced > SSL Settings. Dans le menu Certificats, sélectionnez le point de confiance associé au certificat souhaité pour l'interface externe. Cliquez sur Apply.
Configuration CLI équivalente :
ASA(config)# ssl trust-pointoutside
Le serveur WebVPN agit en tant que proxy pour les connexions client. Cela signifie que l'ASA crée des connexions aux ressources pour le compte du client. Si les clients ont besoin de connexions aux ressources qui utilisent des noms de domaine, l'ASA doit effectuer la recherche DNS.
Choisissez Configuration > Remote Access VPN > DNS.
Configurez au moins un serveur DNS et activez les recherches DNS sur l’interface qui fait face au serveur DNS.
CLI :
ASA(config)# dns domain-lookup inside
ASA(config)# dns server-group DefaultDNS
ASA(config-dns-server-group)# name-server 10.11.12.101
Choisissez Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies > Add Internal Group Policy.
Sous Options générales, modifiez la valeur des protocoles de tunelling en VPN SSL sans client.
CLI :
ASA(config)# group-policy WEBVPN_Group_Policy internal
ASA(config)# group-policy WEBVPN_Group_Policy attributes
ASA(config-group-policy)# vpn-tunnel-protocol ssl-clientless
Dans ASDM, sélectionnez Configuration > Remote Access VPN > Client SSL VPN Access > Connection Profiles.
Pour obtenir une vue d'ensemble des profils de connexion et des stratégies de groupe, consultez le Guide de configuration de l'interface de ligne de commande VPN de la gamme Cisco ASA, 9.4 - Profils de connexion, Stratégies de groupe et Utilisateurs.
Par défaut, les connexions WebVPN utilisent le profil DefaultWEBVPNGroup. Vous pouvez créer des profils supplémentaires.
Modifiez le profil DefaultWEBVPNGroup et choisissez WEBVPN_Group_Policy sous Default Group Policy.
CLI :
ASA(config)# tunnel-group DefaultWEBVPNGroup general-attributes
ASA(config-tunnel-general)# default-group-policy WEBVPN_Group_Policy
Cochez la case Autoriser l'accès en regard de l'interface externe.
CLI :
ASA(config)# webvpn
ASA(config-webvpn)# enable outside
Les signets permettent à l'utilisateur de naviguer facilement dans les ressources internes sans avoir à mémoriser les URL.
Afin de créer un signet, choisissez Configuration > Remote Access VPN > Client SSL VPN Access > Portal > Bookmarks > Add.
Choisissez Add afin d'ajouter un signet spécifique.
CLI :
Il est impossible de créer des signets via l'interface de ligne de commande, car ils sont créés en tant que fichiers XML.
Choisissez Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies > Edit > Portal > Bookmark List.
CLI :
ASA(config)# group-policy DfltGrpPolicy attributes
ASA(config-group-policy)# webvpn
ASA(config-group-webvpn)# url-list value My_Bookmarks
Une fois le WebVPN configuré, utilisez l'adresse https://<FQDN de l'ASA> dans le navigateur.
Après vous être connecté, vous devriez voir la barre d'adresse utilisée pour naviguer vers les sites Web et les signets.
Suivez ces instructions afin de faire le dépannage de votre configuration .
Dans l'ASDM, choisissez Monitoring > logging > Real-time Log Viewer > View. Lorsqu'un client se connecte à l'ASA, notez l'établissement de la session TLS, la sélection de la stratégie de groupe et l'authentification réussie de l'utilisateur.
CLI :
ASA(config)# logging buffered debugging
ASA(config)# show logging
Dans ASDM, choisissez Monitoring > VPN > VPN Statistics > Sessions > Filter by : VPN SSL sans client. Recherchez la nouvelle session WebVPN. Soyez sûr de choisir le filtre WebVPN et cliquez sur Filter. Si un problème se pose, contournez temporairement le périphérique ASA pour vous assurer que les clients peuvent accéder aux ressources réseau désirées. Passez en revue les étapes de configuration énumérées dans ce document.
CLI :
ASA(config)# show vpn-sessiondb webvpn
Session Type: WebVPN
Username : admin Index : 3
Public IP : 10.229.20.77
Protocol : Clientless
License : AnyConnect Premium
Encryption : Clientless: (1)AES128 Hashing : Clientless: (1)SHA256
Bytes Tx : 72214 Bytes Rx : 270241
Group Policy : WEBVPN_Group_Policy Tunnel Group : DefaultWEBVPNGroup
Login Time : 10:40:04 UTC Tue May 26 2015
Duration : 0h:05m:21s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a1516010000300055644d84
Security Grp : none
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
show webvpn - Il existe de nombreuses commandes show associées à WebVPN. Afin de voir l'utilisation des commandes show en détail, consultez la section référence de commande de l'appliance de sécurité Cisco.
debug webvpn - L'utilisation des commandes debug peut avoir un impact négatif sur l'ASA. Afin de voir l'utilisation des commandes debug plus en détail, consultez la section référence de commande de l'appliance de sécurité Cisco.
Problème
Le message « Accès VPN SSL sans client (navigateur) n'est pas autorisé. » apparaît dans le navigateur après une tentative de connexion infructueuse. La licence AnyConnect Premium n'est pas installée sur l'ASA ou elle n'est pas utilisée comme indiqué par « La licence Premium AnyConnect n'est pas activée sur l'ASA. »
Solution
Activez la licence Premium AnyConnect avec les commandes suivantes :
ASA(config)# webvpn
ASA(config-webvpn)# no anyconnect-essentials
Problème
Le message « Échec de la connexion » apparaît dans le navigateur après une tentative de connexion infructueuse. La limite de licence AnyConnect a été dépassée.
Solution
Recherchez ce message dans les journaux :
%ASA-4-716023: Group <DfltGrpPolicy> User <cisco> IP <192.168.1.100>
Session could not be established: session limit of 2 reached.
Vérifiez également votre limite de licence :
ASA(config)# show version | include Premium
AnyConnect Premium Peers : 2 perpetual
Problème
Le message « AnyConnect n'est pas activé sur le serveur VPN » apparaît dans le navigateur après une tentative de connexion infructueuse. Le protocole VPN sans client n'est pas activé dans la stratégie de groupe.
Solution
Recherchez ce message dans les journaux :
%ASA-6-716002: Group <DfltGrpPolicy> User <cisco> IP <192.168.1.100>
WebVPN session terminated: Client type not supported.
Assurez-vous que le protocole VPN sans client est activé pour la stratégie de groupe souhaitée :
ASA(config)# show run all group-policy | include vpn-tunnel-protocol
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-clientless
Problème
Seuls trois clients WebVPN peuvent se connecter à l'ASA. La connexion pour le quatrième client échoue.
Solution
Dans la plupart des cas, ce problème est lié à un paramètre de connexion simultanée dans la stratégie de groupe. Utilisez cette illustration afin de configurer le nombre souhaité de connexions simultanées. Dans cet exemple, la valeur souhaitée est 20.
ASA(config)# group-policy Cisco attributes
ASA(config-group-policy)# vpn-simultaneous-logins 20
Problème
Si ces signets ont été configurés pour que les utilisateurs se connectent au VPN sans client, mais sur l'écran d'accueil sous « Applications Web » ils apparaissent grisés, comment puis-je activer ces liens HTTP pour que les utilisateurs puissent les cliquer et aller dans l'URL particulière ?
Solution
Vous devriez d'abord vous assurer que ASA peut résoudre les sites Web à travers le DNS. Essayez d'envoyer un ping aux sites Web par nom. Si ASA ne peut pas résoudre le nom, le lien est grisé. Si les serveurs DNS sont internes à votre réseau, configurez l'interface privée de recherche de domaine DNS.
Problème
Le message d'erreur « the ica client received a corrupt ica file. » se produit pour Citrix au-dessus de WEBVPN.
Solution
Si vous utilisez le mode secure gateway pour la connexion Citrix via WebVPN, le fichier ICA peut être endommagé. Puisque ASA n'est pas compatible avec ce mode de fonctionnement, créez un nouveau fichier ICA en mode direct (mode non sécurisé).
Problème
Lorsque vous accédez aux liens CIFS sur le portail WebVPN sans client, vous êtes invité à fournir des informations d'identification après avoir cliqué sur le signet. Le protocole LDAP (Lightweight Directory Access Protocol) est utilisé afin d'authentifier les ressources et les utilisateurs qui ont déjà entré des informations d'identification LDAP pour se connecter à la session VPN.
Solution
Vous pouvez utiliser la fonctionnalité de connexion automatique dans ce cas. Sous la stratégie de groupe spécifique utilisée et sous ses attributs WebVPN, configurez ceci :
ASA(config)# group-policy WEBVPN_Group_Policy attributes
ASA(config-group-policy)# webvpn
ASA(config-group-webvpn)# auto-signon allow uri cifs://X.X.X.X/* auth-type all
où X.X.X.X=IP du serveur CIFS et *=reste du chemin pour atteindre le fichier/dossier de partage en question.
Un exemple d'extrait de configuration est présenté ici :
ASA(config)# group-policy ExamplePolicy attributes
ASA(config-group-policy)# webvpn
ASA(config-group-webvpn)# auto-signon allow uri
https://*.example.com/* auth-type all
Pour plus d'informations à ce sujet, consultez Configuration de SSO avec l'authentification HTTP Basic ou NTLM.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
05-Jan-2016 |
Première publication |