Exemple de configuration d'un client VPN SSL (SVC) sur IOS avec SDM

Introduction

Le Client VPN SSL (SVC) fournit un tunnel complet pour les communications sécurisées au réseau d'entreprise interne. Vous pouvez configurer l'accès sur un utilisateur par base d'utilisateur, ou vous pouvez créer les différents contextes de webvpn dans lesquels vous placez un ou plusieurs utilisateurs.

Le technologie VPN SSL ou WebVPN est prise en charge sur les plate-formes de routeur IOS suivantes :

• 870, 1811, 1841, 2801, 2811, 2821, 2851

• 3725, 3745, 3825, 3845, 7200 et 7301

Vous pouvez configurer la technologie de VPN SSL en ces modes :

• VPN SSL sans client (WebVPN) - Fournit un client distant nécessitant un navigateur Web compatible SSL pour accéder à des serveurs Web HTTP ou HTTPS sur un réseau local d'entreprise (LAN). En outre, le VPN SSL sans client permet l'exploration de fichiers Windows via le protocole Common Internet File System (CIFS). Outlook Web Access (OWA) est un exemple d'accès HTTP.

  Référez-vous au VPN SSL sans client (webvpn) sur le Cisco IOS avec l'exemple de configuration SDM afin de se renseigner plus sur le VPN SSL sans client.

• VPN SSL client léger (redirection de port) - Fournit un client distant qui télécharge un petit applet basé sur Java et permet l'accès sécurisé aux applications de Protocole de contrôle de transmissions (TCP) qui utilisent des numéros de port statiques. Le point de présence (POP3), le Protocole SMTP (Simple Mail Transfer Protocol), le Protocole IMAP (Internet Message Access Protocol), le Protocole Secure Shell (SSH), et le telnet sont des exemples d'accès sécurisé. Puisque les fichiers sur l'ordinateur local changent, les utilisateurs doivent avoir des privilèges d'administrateur locaux pour utiliser cette méthode. Cette méthode de VPN SSL ne fonctionne pas avec les applications qui utilisent des affectations de ports dynamiques, telles que certaines applications de protocole de transfert de fichiers (FTP).

  Référez-vous à Exemple de configuration du VPN SSL (WebVPN) client léger sur IOS avec SDM afin d'en savoir plus sur le VPN SSL client léger.

  Remarque: Le Protocole de datagramme utilisateur (UDP) n'est pas pris en charge.

• Client de VPN SSL (mode de Full Tunnel de SVC) — télécharge un petit client à la station distante et permet le plein accès sécurisé aux ressources sur un réseau d'entreprise interne. Vous pouvez télécharger le SVC à une station distante de manière permanente, ou vous pouvez retirer le client une fois que la session sécurisée est fermée.

Ce document explique la configuration d'un routeur Cisco IOS à l'usage d'un client de VPN SSL.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

• Microsoft Windows 2000 ou XP ;

• Navigateur Web avec SUN JRE 1.4 (ou version ultérieure) ou navigateur contrôlé par ActiveX ;

• Privilèges administratifs locaux sur le client ;

• Un des Routeurs l'a répertorié dans l'introduction avec une image de sécurité avancée (12.4(6)T ou plus tard)

• Version 2.3 de Cisco Security Device Manager (SDM)

  Si Cisco SDM n'est pas déjà chargé sur votre routeur, vous pouvez obtenir une copie gratuite du logiciel à partir du site Téléchargement de logiciel ( clients enregistrés seulement). Vous devez avoir un compte CCO avec un contrat de service. Pour obtenir des informations détaillées sur l'installation et la configuration de SDM, référez-vous à Cisco Router and Security Device Manager.

• Un certificat numérique sur le routeur

  Vous pouvez employer un certificat auto-signé persistant ou un Autorité de certification (CA) externe pour répondre à cette exigence. Pour plus d'informations sur les Certificats auto-signés persistants, référez-vous aux Certificats Auto-signés persistants.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Gamme 3825 de routeur Cisco IOS avec 12.4(9)T

• Version 2.3.1 du Security Device Manager (SDM)

Remarque: Les informations contenues dans ce document ont été créées à partir des périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Tâches de préconfiguration

1. Configurez le routeur pour SDM. (Facultatif)

   Les Routeurs avec le permis approprié de paquet de Sécurité ont déjà l'application SDM chargée dans l'éclair. Référez-vous au téléchargement et le Cisco Router and Security Device Manager de installer (SDM) pour obtenir et configurer le logiciel.

2. Téléchargez une copie du SVC à votre PC de Gestion.

   Vous pouvez obtenir une copie du fichier de package de SVC du téléchargement logiciel : Client VPN SSL Cisco (clients enregistrés seulement). Vous devez avoir un compte valide CCO avec un contrat de service.

3. Placez la date, l'heure, et le fuseau horaire corrects, et puis configurez un certificat numérique sur le routeur.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Le SVC est au commencement chargé sur le routeur de webvpn gateway. Chaque fois que le client se connecte, une copie du SVC est dynamiquement téléchargée sur le PC. Afin de changer ce comportement, configurez le routeur pour permettre au logiciel de rester de manière permanente sur l'ordinateur client.

Configurez le SVC sur l'IOS

Cette section vous indique les étapes nécessaires pour configurer les fonctionnalités décrites dans ce document. Cet exemple de configuration utilise l'assistant SDM pour activer l'exécution du SVC sur le routeur IOS.

Terminez-vous ces étapes afin de configurer le SVC sur le routeur IOS :

1. Installez et activez le logiciel de SVC sur le routeur IOS

2. Configurez un contexte et un webvpn gateway de webvpn avec l'assistant SDM

3. Configurez la base de données utilisateur pour des utilisateurs de SVC

4. Configurer les ressources à présenter aux utilisateurs

Étape 1. Installez et activez le logiciel de SVC sur le routeur IOS

Terminez-vous ces étapes afin d'installer et activer le logiciel de SVC sur le routeur IOS :

1. Ouvrez l'application SDM, cliquez sur Configure, et puis cliquez sur le VPN.

2. Développez le webvpn, et choisissez les modules.

   

3. Dans le secteur de logiciel client de webvpn de Cisco, cliquez sur le bouton Parcourir.

   La boîte de dialogue choisie d'emplacement de SVC apparaît.

   

4. Cliquez sur la ma case d'option d'ordinateur, et puis cliquez sur parcourent pour localiser le module de SVC sur votre PC de Gestion.

5. Cliquez sur OK, et puis cliquez sur le bouton d'installer.

   

6. Cliquez sur Yes, puis cliquez sur OK.

   Un réussi installe du module de SVC est affiché dans cette image :

   

Étape 2. Configurez un contexte et un webvpn gateway de webvpn avec l'assistant SDM

Terminez-vous ces étapes afin de configurer un contexte et un webvpn gateway de webvpn :

1. Après que le SVC soit installé sur le routeur, cliquez sur Configure, et puis cliquez sur le VPN.

2. Cliquez sur le webvpn, et cliquez sur l'onglet de webvpn de création.

   

3. Vérifiez la création une nouvelle case d'option de webvpn, et puis cliquez sur le lancement la tâche sélectionnée.

   La boîte de dialogue d'assistant de webvpn apparaît.

   

4. Cliquez sur Next (Suivant).

   

5. Écrivez l'adresse IP du nouveau webvpn gateway, et écrivez un nom unique pour ce contexte de webvpn.

   Vous pouvez créer différents contextes de webvpn pour la même adresse IP (webvpn gateway), mais chaque nom doit être seul. Cet exemple utilise l’adresse IP suivante : https://192.168.0.37/sales

6. Cliquez sur Next, puis passez à l’Étape 3.

Étape 3. Configurez la base de données utilisateur pour des utilisateurs de SVC

Pour l’authentification, vous pouvez utiliser un serveur AAA, des utilisateurs locaux ou les deux. Cet exemple de configuration utilise des utilisateurs créés localement pour l’identification.

Terminez-vous ces étapes afin de configurer la base de données utilisateur pour des utilisateurs de SVC :

1. Après que vous vous terminiez l'étape 2, cliquez sur localement en fonction la cette case d'option de routeur située dans la boîte de dialogue d'authentification de l'utilisateur d'assistant de webvpn.

   

   Cette boîte de dialogue vous permet d’ajouter des utilisateurs à la base de données locale.

2. Cliquez sur Add, puis saisissez les informations utilisateur.

   

3. Cliquez sur OK, puis ajoutez des utilisateurs supplémentaires selon les besoins.

4. Après avoir ajouté les utilisateurs nécessaires, cliquez sur le bouton Next, puis passez à l’Étape 4.

Étape 4. Configurez les ressources pour exposer aux utilisateurs

La boîte de dialogue d'assistant de webvpn de sites Web d'intranet de configurer te permet pour sélectionner les ressources en intranet que vous voulez pour exposer à votre SVC des clients.

Terminez-vous ces étapes afin de configurer les ressources pour exposer aux utilisateurs :

1. Après que vous vous terminiez l'étape 3, cliquez sur le bouton d'ajouter situé dans la boîte de dialogue de sites Web d'intranet de configurer.

   

2. Écrivez un nom de liste URL, et puis écrivez un titre.

   

3. Cliquez sur Add, et choisissez le site Web pour ajouter les sites Web que vous voulez exposer à ce client.

4. Écrivez l'URL et l'information de liaison, et puis cliquez sur OK.

5. Pour ajouter l'accès aux serveurs exchanges OWA, cliquez sur Add et choisissez le courrier électronique.

   

6. Cochez la case d'Outlook Web Access, écrivez l'étiquette URL et l'information de liaison, et puis cliquez sur OK.

   

7. Après que vous ajoutiez les ressources désirées, cliquez sur OK, et puis cliquez sur Next.

   Boîte de dialogue de tunnel d'assistant de webvpn la pleine apparaît.

   

8. Vérifiez que la case Enable Full Tunnel est cochée.

9. Créez un groupe d'adresses IP que les clients de ce contexte de webvpn peuvent utiliser. Le pool d’adresses doit correspondre aux adresses disponibles et routables sur votre Intranet.

10. Cliquez sur les ellipses (…) à côté du champ de groupe d'adresse IP, et choisissez créent un nouveau pool d'IP.

    

11. Dans la boîte de dialogue d'ip local pool d'ajouter, écrivez un nom pour le groupe, et cliquez sur Add.

    

12. Dans la boîte de dialogue de plage d'adresses IP d'ajouter, écrivez la plage de pool d'adresses pour les clients de SVC, et cliquez sur OK.

    Remarque: Le groupe d'adresse IP devrait être dans une série d'une interface directement connectée au routeur. Si vous voulez utiliser une plage différente de groupe, vous pouvez créer une adresse de bouclage associée avec votre nouveau groupe pour répondre à cette exigence.

13. Cliquez sur OK.

    

14. Si vous voulez que vos clients distants enregistrent de manière permanente une copie du clic de SVC la conservation le logiciel client de Full Tunnel a installé sur la case PC du client. Effacez cette option d'exiger du client de télécharger le logiciel de SVC chaque fois que un client se connecte.

15. Configurez les options de tunnel avancées, notamment la transmission de tunnel partagée, le partage de DNS, les paramètres de proxy du navigateur ainsi que les serveurs DNS et WNS. Cisco vous recommande de configurer au minimum les serveurs DNS et WINS.

    Exécutez les étapes suivantes pour configurer les options de tunnel avancées :

    1. Cliquez sur le bouton Advanced Tunnel Options (Options de tunnel avancées).

       

    2. Cliquez sur l’onglet DNS and WINS Servers, puis saisissez les adresses IP principales des serveurs DNS et WINS.

    3. Pour configurer la Segmentation de tunnel et les paramètres de proxy du navigateur, cliquez sur l'onglet de Segmentation de tunnel ou de paramètres de proxy du navigateur.

       

16. Après avoir configuré les options nécessaires, cliquez sur Next.

17. Personnalisez la page du portail de webvpn ou sélectionnez les valeurs par défaut.

    La page du portail de webvpn de personnaliser te permet pour personnaliser comment la page du portail de webvpn paraît à vos clients.

    

18. Après que vous configuriez la page du portail de webvpn, cliquez sur Next, cliquez sur Finish, et puis cliquez sur OK.

    L'assistant de webvpn soumet des commandes de visite complète au routeur.

19. Cliquez sur OK pour sauvegarder votre configuration.

    Remarque: Si vous recevez un message d'erreur, le permis de webvpn peut être incorrect. Un exemple de message d'erreur est affiché dans cette image :

    

    Pour corriger le problème de licence, exécutez les étapes suivantes :

    1. Cliquez sur Configure, puis sur VPN.

    2. Développez le webvpn, et cliquez sur l'onglet de webvpn d'éditer.

       

    3. Mettez le contexte que vous venez de créer en surbrillance, puis cliquez sur le bouton Edit (Modifier).

       

    4. Dans le champ « Maximum Number of users » (Nombre maximal d’utilisateurs), saisissez le nombre correct d’utilisateurs de votre licence.

    5. Cliquez sur OK, puis sur OK.

       Vos commandes sont enregistrées dans le fichier de configuration.

    6. Cliquez sur Save, puis sur Yes pour accepter les modifications.

Résultats

L'ASDM crée les configurations de ligne de commande suivantes :

ausnml-3825-01#show run
Building configuration...

Current configuration : 4393 bytes
!
! Last configuration change at 22:24:06 UTC Thu Aug 3 2006 by ausnml
! NVRAM config last updated at 22:28:54 UTC Thu Aug 3 2006 by ausnml
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ausnml-3825-01
!
boot-start-marker
boot system flash c3825-adventerprisek9-mz.124-9.T.bin
boot-end-marker
!
no logging buffered
!
aaa new-model
!

!--- Added by SDM for local aaa authentication.

aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authentication login sdm_vpn_xauth_ml_3 local
aaa authentication login sdm_vpn_xauth_ml_4 local
!
aaa session-id common
!
resource policy
!
ip cef
!
ip domain name cisco.com
!
voice-card 0
 no dspfarm

!--- Digital certificate information.

crypto pki trustpoint TP-self-signed-577183110
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-577183110
 revocation-check none
 rsakeypair TP-self-signed-577183110
!
crypto pki certificate chain TP-self-signed-577183110
 certificate self-signed 01
  3082024E 308201B7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 35373731 38333131 30301E17 0D303630 37323731 37343434 
  365A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3537 37313833 
  31313030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 
  F43F6DD9 32A264FE 4C5B0829 698265DC 6EC65B17 21661972 D363BC4C 977C3810 
  

!--- Output suppressed.

  quit
username wishaw privilege 15 secret 5 $1$r4CW$SeP6ZwQEAAU68W9kbR16U.
username ausnml privilege 15 password 7 044E1F505622434B
username sales privilege 15 secret 5 $1$/Lc1$K.Zt41zF1jSdKZrPgNK1A.
username newcisco privilege 15 secret 5 $1$Axlm$7k5PWspXKxUpoSReHo7IQ1
!
interface GigabitEthernet0/0
 ip address 192.168.0.37 255.255.255.0
 ip virtual-reassembly
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/1
 ip address 172.22.1.151 255.255.255.0
 duplex auto
 speed auto
 media-type rj45

!--- Clients receive an address from this pool.

ip local pool Intranet 172.22.1.75 172.22.1.95
ip route 0.0.0.0 0.0.0.0 172.22.1.1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 100
!
control-plane
!
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
!
scheduler allocate 20000 1000

!--- Identify the gateway and port.

webvpn gateway gateway_1
 ip address 192.168.0.37 port 443 
 http-redirect port 80
 ssl trustpoint TP-self-signed-577183110
 inservice

!--- SVC package file.

webvpn install svc flash:/webvpn/svc.pkg
!

!--- WebVPN context.

webvpn context sales
 title-color #CCCC66
 secondary-color white
 text-color black
 ssl authenticate verify all
!

!--- Resources available to this context.

 url-list "WebServers"
   heading "Intranet Web"
   url-text "SalesSite" url-value "http://172.22.1.10"
   url-text "OWAServer" url-value "http://172.22.1.20/exchange"
 !
 nbns-list NBNS-Servers
   nbns-server 172.22.1.15 master 


!--- Group policy for the context.

 policy group policy_1
   url-list "WebServers"
   functions svc-enabled
   svc address-pool "Intranet"
   svc default-domain "cisco.com"
   svc keep-client-installed
   svc dns-server primary 172.22.1.100
   svc wins-server primary 172.22.1.101
 default-group-policy policy_1
 aaa authentication list sdm_vpn_xauth_ml_4
 gateway gateway_1 domain sales
 max-users 2
 inservice
!

!
end

Vérifier

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Procédure

Pour tester votre configuration, entrez dans http://192.168.0.37/sales dans un navigateur Web SSL-activé de client.

Commandes

Plusieurs commandes show sont associées au WebVPN. Vous pouvez exécuter ces commandes dans l’interface de ligne de commande (CLI) afin d’afficher les statistiques et autres informations. Pour obtenir des informations détaillées à propos des commandes show, reportez-vous à Vérification de la configuration de WebVPN.

Remarque: L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Dépanner

Utilisez cette section pour dépanner votre configuration.

Problème de connectivité SSL

Problème : Les clients VPN SSL ne peuvent pas se connecter au routeur.

Solution : Un nombre insuffisant d’adresses IP dans le pool d’adresses IP peut être à l’origine du problème. Pour résoudre ce problème, augmentez le nombre d’adresses IP dans le pool d’adresses IP du routeur.

Dépannage des commandes

Plusieurs commandes clear sont associées à WebVPN. Pour obtenir des informations détaillées à propos de ces commandes, reportez-vous à Utilisation des commandes Clear WebVPN.

Plusieurs commandes debug sont associées à WebVPN. Pour obtenir des informations détaillées à propos de ces commandes, reportez-vous à Utilisation des commandes Debug WebVPN.

Remarque: L’utilisation des commandes debug peut avoir un impact négatif sur votre périphérique Cisco. Avant d'utiliser les commandes debug, référez-vous à la section Informations importantes sur les commandes Debug.

Informations connexes

• Cisco IOS SSLVPN
• VPN SSL - WebVPN
• Exemple de configuration d'un VPN SSL sans client (WebVPN) sur Cisco IOS avec SDM
• Exemple de configuration de VPN SSL (WebVPN) client léger sur IOS avec SDM
• Guide de déploiement de convergence WebVPN et DMVPN
• Support et documentation techniques - Cisco Systems