Exemple de configuration d'un client VPN SSL (SVC) sur IOS avec SDM

Introduction

Le Client VPN SSL (SVC) fournit un tunnel complet pour les communications sécurisées au réseau d'entreprise interne. Vous pouvez configurer l'accès utilisateur par utilisateur ou créer différents contextes WebVPN dans lesquels vous placez un ou plusieurs utilisateurs.

Le technologie VPN SSL ou WebVPN est prise en charge sur les plate-formes de routeur IOS suivantes :

• 870, 1811, 1841, 2801, 2811, 2821, 2851

• 3725, 3745, 3825, 3845, 7200 et 7301

Vous pouvez configurer la technologie VPN SSL dans les modes suivants :

• VPN SSL sans client (WebVPN) - Fournit un client distant nécessitant un navigateur Web compatible SSL pour accéder à des serveurs Web HTTP ou HTTPS sur un réseau local d'entreprise (LAN). En outre, le VPN SSL sans client permet l'exploration de fichiers Windows via le protocole Common Internet File System (CIFS). Outlook Web Access (OWA) est un exemple d'accès HTTP.

  Référez-vous à Exemple de configuration de VPN SSL sans client (WebVPN) sur Cisco IOS avec SDM afin d'en savoir plus sur le VPN SSL sans client.

• VPN SSL client léger (redirection de port) - Fournit un client distant qui télécharge un petit applet basé sur Java et permet l'accès sécurisé aux applications de Protocole de contrôle de transmissions (TCP) qui utilisent des numéros de port statiques. Les protocoles POP3 (Point of Presence), SMTP (Simple Mail Transfer Protocol), IMAP (Internet Message Access Protocol), ssh (Secure Shell) et Telnet sont des exemples d'accès sécurisé. Puisque les fichiers sur l'ordinateur local changent, les utilisateurs doivent avoir des privilèges d'administrateur locaux pour utiliser cette méthode. Cette méthode de VPN SSL ne fonctionne pas avec les applications qui utilisent des affectations de ports dynamiques, telles que certaines applications de protocole de transfert de fichiers (FTP).

  Référez-vous à Exemple de configuration IOS VPN SSL client léger (WebVPN) avec SDM afin d'en savoir plus sur le VPN SSL client léger.

  Remarque : le protocole UDP (User Datagram Protocol) n'est pas pris en charge.

• SSL VPN Client (SVC Full Tunnel Mode) : télécharge un petit client vers la station de travail distante et permet un accès sécurisé complet aux ressources sur un réseau interne de l'entreprise. Vous pouvez télécharger le SVC sur une station de travail distante de manière permanente ou supprimer le client une fois la session sécurisée fermée.

Ce document présente la configuration d'un routeur Cisco IOS à utiliser par un client VPN SSL.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

• Microsoft Windows 2000 ou XP ;

• Navigateur Web avec SUN JRE 1.4 (ou version ultérieure) ou navigateur contrôlé par ActiveX ;

• Privilèges administratifs locaux sur le client ;

• Un des routeurs répertoriés dans l'Introduction avec une image de sécurité avancée (12.4(6)T ou ultérieure)

• Cisco Security Device Manager (SDM) version 2.3

  Si Cisco SDM n'est pas déjà chargé sur votre routeur, vous pouvez obtenir une copie gratuite du logiciel à partir du site Téléchargement de logiciel ( clients enregistrés seulement). Vous devez avoir un compte CCO avec un contrat de service. Pour obtenir des informations détaillées sur l'installation et la configuration de SDM, référez-vous à Cisco Router and Security Device Manager.

• Certificat numérique sur le routeur

  Vous pouvez utiliser un certificat auto-signé persistant ou une autorité de certification externe pour satisfaire à cette exigence. Pour plus d'informations sur les certificats auto-signés persistants, référez-vous à Certificats auto-signés persistants.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Routeur Cisco IOS de la gamme 3825 avec 12.4(9)T

• Security Device Manager (SDM) version 2.3.1

Remarque : les informations de ce document ont été créées à partir de périphériques dans un environnement de travaux pratiques spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Tâches de préconfiguration

1. Configurez le routeur pour SDM. (Facultatif)

   L’application SDM est déjà chargée en mémoire flash sur les routeurs dotés de la licence de l’ensemble de sécurité appropriée. Reportez-vous à Téléchargement et installation de Cisco Router and Security Device Manager (SDM) pour obtenir et configurer le logiciel.

2. Téléchargez une copie du SVC sur votre PC de gestion.

   Vous pouvez obtenir une copie du fichier de package SVC à partir du téléchargement de logiciels : Client VPN SSL Cisco (clients enregistrés uniquement). Vous devez disposer d'un compte CCO valide avec un contrat de service.

3. Définissez la date, l'heure et le fuseau horaire corrects, puis configurez un certificat numérique sur le routeur.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Le SVC est initialement chargé sur le routeur de passerelle WebVPN. Chaque fois que le client se connecte, une copie du SVC est téléchargée dynamiquement sur le PC. Afin de modifier ce comportement, configurez le routeur pour permettre au logiciel de rester en permanence sur l'ordinateur client.

Configuration de SVC sur IOS

Cette section vous indique les étapes nécessaires pour configurer les fonctionnalités décrites dans ce document. Cet exemple de configuration utilise l’Assistant SDM pour activer le fonctionnement du circuit virtuel commuté sur le routeur IOS.

Complétez ces étapes afin de configurer SVC sur le routeur IOS :

1. Installation et activation du logiciel SVC sur le routeur IOS

2. Configuration d'un contexte WebVPN et d'une passerelle WebVPN à l'aide de l'assistant SDM

3. Configurer la base de données utilisateur pour les utilisateurs SVC

4. Configurer les ressources à présenter aux utilisateurs

Étape 1. Installation et activation du logiciel SVC sur le routeur IOS

Complétez ces étapes afin d'installer et d'activer le logiciel SVC sur le routeur IOS :

1. Ouvrez l'application SDM, cliquez sur Configurer, puis sur VPN.

2. Développez WebVPN, puis choisissez Packages.

   

3. Dans la zone Logiciel client Cisco WebVPN, cliquez sur le bouton Parcourir.

   La boîte de dialogue Sélectionner l'emplacement SVC s'affiche.

   

4. Cliquez sur la case d'option Poste de travail, puis cliquez sur Parcourir pour localiser le package SVC sur votre ordinateur de gestion.

5. Cliquez sur OK, puis sur le bouton Installer.

   

6. Cliquez sur Yes, puis cliquez sur OK.

   L'installation réussie du package SVC est illustrée dans cette image :

   

Étape 2. Configuration d'un contexte WebVPN et d'une passerelle WebVPN à l'aide de l'assistant SDM

Complétez ces étapes afin de configurer un contexte WebVPN et une passerelle WebVPN :

1. Une fois le circuit virtuel commuté installé sur le routeur, cliquez sur Configurer, puis sur VPN.

2. Cliquez sur WebVPN, puis sur l'onglet Créer WebVPN.

   

3. Cochez la case d'option Créer un nouveau WebVPN, puis cliquez sur Lancer la tâche sélectionnée.

   La boîte de dialogue Assistant WebVPN s'affiche.

   

4. Cliquez sur Next (Suivant).

   

5. Entrez l'adresse IP de la nouvelle passerelle WebVPN et entrez un nom unique pour ce contexte WebVPN.

   Vous pouvez créer différents contextes WebVPN pour la même adresse IP (passerelle WebVPN), mais chaque nom doit être unique. Cet exemple utilise l’adresse IP suivante : https://192.168.0.37/sales

6. Cliquez sur Next, puis passez à l’Étape 3.

Étape 3. Configurer la base de données utilisateur pour les utilisateurs SVC

Pour l’authentification, vous pouvez utiliser un serveur AAA, des utilisateurs locaux ou les deux. Cet exemple de configuration utilise des utilisateurs créés localement pour l’identification.

Complétez ces étapes afin de configurer la base de données utilisateur pour les utilisateurs SVC :

1. Après avoir terminé l'étape 2, cliquez sur la case d'option Locally on this router située dans la boîte de dialogue WebVPN Wizard User Authentication.

   

   Cette boîte de dialogue vous permet d’ajouter des utilisateurs à la base de données locale.

2. Cliquez sur Add, puis saisissez les informations utilisateur.

   

3. Cliquez sur OK, puis ajoutez des utilisateurs supplémentaires selon les besoins.

4. Après avoir ajouté les utilisateurs nécessaires, cliquez sur le bouton Next, puis passez à l’Étape 4.

Étape 4. Configurer les ressources à présenter aux utilisateurs

La boîte de dialogue Configurer l'Assistant WebVPN des sites Web intranet vous permet de sélectionner les ressources intranet que vous souhaitez exposer à vos clients SVC.

Complétez ces étapes afin de configurer les ressources à exposer aux utilisateurs :

1. Après avoir terminé l'étape 3, cliquez sur le bouton Ajouter situé dans la boîte de dialogue Configurer les sites Web intranet.

   

2. Saisissez un nom de liste d'URL, puis saisissez un en-tête.

   

3. Cliquez sur Ajouter, puis choisissez Site Web pour ajouter les sites Web que vous voulez exposer à ce client.

4. Entrez l'URL et les informations de lien, puis cliquez sur OK.

5. Pour ajouter l'accès aux serveurs Exchange OWA, cliquez sur Ajouter et choisissez Courrier électronique.

   

6. Cochez la case Outlook Web Access, entrez l'étiquette d'URL et les informations de lien, puis cliquez sur OK.

   

7. Après avoir ajouté les ressources souhaitées, cliquez sur OK, puis sur Suivant.

   La boîte de dialogue Tunnel complet de l'Assistant WebVPN s'affiche.

   

8. Vérifiez que la case Enable Full Tunnel est cochée.

9. Créez un pool d'adresses IP que les clients de ce contexte WebVPN peuvent utiliser. Le pool d’adresses doit correspondre aux adresses disponibles et routables sur votre Intranet.

10. Cliquez sur les ellipses (...) situées à côté du champ IP Address Pool, puis sélectionnez Create a new IP Pool.

    

11. Dans la boîte de dialogue Ajouter un pool local IP, entrez un nom pour le pool, puis cliquez sur Ajouter.

    

12. Dans la boîte de dialogue Ajouter une plage d'adresses IP, saisissez la plage du pool d'adresses des clients SVC, puis cliquez sur OK.

    Remarque : le pool d'adresses IP doit se trouver dans une plage d'une interface directement connectée au routeur. Si vous souhaitez utiliser une autre plage de pools, vous pouvez créer une adresse de bouclage associée à votre nouveau pool pour répondre à cette condition.

13. Click OK.

    

14. Si vous souhaitez que vos clients distants stockent une copie du SVC de manière permanente, cochez la case Conserver le logiciel client de tunnel complet installé sur le PC du client. Désactivez cette option pour demander au client de télécharger le logiciel SVC chaque fois qu'un client se connecte.

15. Configurez les options de tunnel avancées, notamment la transmission de tunnel partagée, le partage de DNS, les paramètres de proxy du navigateur ainsi que les serveurs DNS et WNS. Cisco vous recommande de configurer au minimum les serveurs DNS et WINS.

    Exécutez les étapes suivantes pour configurer les options de tunnel avancées :

    1. Cliquez sur le bouton Advanced Tunnel Options (Options de tunnel avancées).

       

    2. Cliquez sur l’onglet DNS and WINS Servers, puis saisissez les adresses IP principales des serveurs DNS et WINS.

    3. Pour configurer la tunnellisation fractionnée et les paramètres de proxy du navigateur, cliquez sur l'onglet Fractionner la tunnellisation ou Paramètres du proxy du navigateur.

       

16. Après avoir configuré les options nécessaires, cliquez sur Next.

17. Personnalisez la page WebVPN Portal ou sélectionnez les valeurs par défaut.

    La page Personnaliser le portail WebVPN vous permet de personnaliser l'affichage de la page WebVPN Portal à vos clients.

    

18. Après avoir configuré la page WebVPN Portal, cliquez sur Next, sur Finish, puis sur OK.

    L'Assistant WebVPN envoie des commandes de visite au routeur.

19. Cliquez sur OK pour enregistrer votre configuration.

    Remarque : Si vous recevez un message d'erreur, la licence WebVPN peut être incorrecte. Un exemple de message d'erreur s'affiche dans cette image :

    

    Pour corriger le problème de licence, exécutez les étapes suivantes :

    1. Cliquez sur Configure, puis sur VPN.

    2. Développez WebVPN, puis cliquez sur l'onglet Modifier WebVPN.

       

    3. Mettez le contexte que vous venez de créer en surbrillance, puis cliquez sur le bouton Edit (Modifier).

       

    4. Dans le champ « Maximum Number of users » (Nombre maximal d’utilisateurs), saisissez le nombre correct d’utilisateurs de votre licence.

    5. Cliquez sur OK, puis sur OK.

       Vos commandes sont enregistrées dans le fichier de configuration.

    6. Cliquez sur Save, puis sur Yes pour accepter les modifications.

Résultats

L'ASDM crée les configurations de ligne de commande suivantes :

ausnml-3825-01#show run
Building configuration...

Current configuration : 4393 bytes
!
! Last configuration change at 22:24:06 UTC Thu Aug 3 2006 by ausnml
! NVRAM config last updated at 22:28:54 UTC Thu Aug 3 2006 by ausnml
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ausnml-3825-01
!
boot-start-marker
boot system flash c3825-adventerprisek9-mz.124-9.T.bin
boot-end-marker
!
no logging buffered
!
aaa new-model
!

!--- Added by SDM for local aaa authentication.

aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authentication login sdm_vpn_xauth_ml_3 local
aaa authentication login sdm_vpn_xauth_ml_4 local
!
aaa session-id common
!
resource policy
!
ip cef
!
ip domain name cisco.com
!
voice-card 0
 no dspfarm

!--- Digital certificate information.

crypto pki trustpoint TP-self-signed-577183110
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-577183110
 revocation-check none
 rsakeypair TP-self-signed-577183110
!
crypto pki certificate chain TP-self-signed-577183110
 certificate self-signed 01
  3082024E 308201B7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 35373731 38333131 30301E17 0D303630 37323731 37343434 
  365A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3537 37313833 
  31313030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 
  F43F6DD9 32A264FE 4C5B0829 698265DC 6EC65B17 21661972 D363BC4C 977C3810 
  

!--- Output suppressed.

  quit
username wishaw privilege 15 secret 5 $1$r4CW$SeP6ZwQEAAU68W9kbR16U.
username ausnml privilege 15 password 7 044E1F505622434B
username sales privilege 15 secret 5 $1$/Lc1$K.Zt41zF1jSdKZrPgNK1A.
username newcisco privilege 15 secret 5 $1$Axlm$7k5PWspXKxUpoSReHo7IQ1
!
interface GigabitEthernet0/0
 ip address 192.168.0.37 255.255.255.0
 ip virtual-reassembly
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/1
 ip address 172.22.1.151 255.255.255.0
 duplex auto
 speed auto
 media-type rj45

!--- Clients receive an address from this pool.

ip local pool Intranet 172.22.1.75 172.22.1.95
ip route 0.0.0.0 0.0.0.0 172.22.1.1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 100
!
control-plane
!
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
!
scheduler allocate 20000 1000

!--- Identify the gateway and port.

webvpn gateway gateway_1
 ip address 192.168.0.37 port 443 
 http-redirect port 80
 ssl trustpoint TP-self-signed-577183110
 inservice

!--- SVC package file.

webvpn install svc flash:/webvpn/svc.pkg
!

!--- WebVPN context.

webvpn context sales
 title-color #CCCC66
 secondary-color white
 text-color black
 ssl authenticate verify all
!

!--- Resources available to this context.

 url-list "WebServers"
   heading "Intranet Web"
   url-text "SalesSite" url-value "http://172.22.1.10"
   url-text "OWAServer" url-value "http://172.22.1.20/exchange"
 !
 nbns-list NBNS-Servers
   nbns-server 172.22.1.15 master 


!--- Group policy for the context.

 policy group policy_1
   url-list "WebServers"
   functions svc-enabled
   svc address-pool "Intranet"
   svc default-domain "cisco.com"
   svc keep-client-installed
   svc dns-server primary 172.22.1.100
   svc wins-server primary 172.22.1.101
 default-group-policy policy_1
 aaa authentication list sdm_vpn_xauth_ml_4
 gateway gateway_1 domain sales
 max-users 2
 inservice
!

!
end

Vérification

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Procédure

Pour tester votre configuration, entrez http://192.168.0.37/sales dans un navigateur Web client compatible SSL.

Commandes

Plusieurs commandes show sont associées à WebVPN. Vous pouvez exécuter ces commandes dans l’interface de ligne de commande (CLI) afin d’afficher les statistiques et autres informations. Pour obtenir des informations détaillées à propos des commandes show, reportez-vous à Vérification de la configuration de WebVPN.

Note : L'outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Dépannage

Utilisez cette section pour dépanner votre configuration.

Problème de connectivité SSL

Problème : Les clients VPN SSL ne peuvent pas se connecter au routeur.

Solution : Un nombre insuffisant d’adresses IP dans le pool d’adresses IP peut être à l’origine du problème. Pour résoudre ce problème, augmentez le nombre d’adresses IP dans le pool d’adresses IP du routeur.

Dépannage des commandes

Plusieurs commandes clear sont associées à WebVPN. Pour obtenir des informations détaillées à propos de ces commandes, reportez-vous à Utilisation des commandes Clear WebVPN.

Plusieurs commandes debug sont associées à WebVPN. Pour obtenir des informations détaillées à propos de ces commandes, reportez-vous à Utilisation des commandes Debug WebVPN.

Remarque : l'utilisation des commandes debug peut avoir un impact négatif sur votre périphérique Cisco. Avant d'utiliser les commandes debug , référez-vous à la section Informations importantes sur les commandes Debug.

Informations connexes

• Cisco IOS SSLVPN
• VPN SSL - WebVPN
• Exemple de configuration d'un VPN SSL sans client (WebVPN) sur Cisco IOS avec SDM
• Exemple de configuration de VPN SSL (WebVPN) client léger sur IOS avec SDM
• Guide de déploiement de convergence WebVPN et DMVPN
• Support et documentation techniques - Cisco Systems