Dit document biedt een eenvoudige configuratie voor de Cisco adaptieve security applicatie (ASA) 5500 Series om clientloze Secure Socket Layer (SSL) VPN-toegang tot interne netwerkbronnen mogelijk te maken. Clientless SSL Virtual Private Network (WebVPN) maakt beperkte, maar waardevolle, beveiligde toegang tot het bedrijfsnetwerk vanuit elke locatie mogelijk. Gebruikers kunnen op elk moment een veilige toegang tot bedrijfsmiddelen bereiken die op een browser is gebaseerd. Er is geen extra cliënt nodig om toegang te krijgen tot interne middelen. De toegang wordt verleend met behulp van een Hypertext Transfer Protocol over SSL-verbinding.
Clientloze SSL VPN biedt veilige en gemakkelijke toegang tot een breed scala aan web resources en zowel web-enabled- als legacy-toepassingen van vrijwel elke computer die Hypertext Transfer Protocol Internet (HTTP)-sites kan bereiken. Dit omvat:
Een lijst met ondersteunde software kan gevonden worden in Ondersteunde VPN-platforms, Cisco ASA 5500 Series.
Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:
De volledige lijst met vereisten kan worden gevonden in Ondersteunde VPN-platforms, Cisco ASA 5500 Series.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden gebruikt, begonnen met een gewiste (standaard) configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Dit artikel beschrijft het configuratieproces voor zowel de ASDM als de CLI. U kunt ervoor kiezen een van de gereedschappen te volgen om WebVPN te configureren, maar sommige configuratiestappen kunnen alleen met ASDM worden uitgevoerd.
Het netwerk in dit document is als volgt opgebouwd:
Webex VPN gebruikt het SSL-protocol om de gegevens te beveiligen die tussen de client en de server zijn overgebracht. Wanneer de browser een verbinding met de ASA initieert, stelt de ASA zijn certificaat voor om zichzelf aan de browser te certificeren. Om ervoor te zorgen dat de verbinding tussen de klant en de ASA veilig is, moet u de ASA het certificaat geven dat door de certificaatautoriteit wordt ondertekend dat de klant reeds vertrouwt. Anders zal de klant niet over de middelen beschikken om de authenticiteit van de ASA te controleren, wat resulteert in de mogelijkheid van de man-in-het-midden aanval en de slechte gebruikerservaring, omdat de browser een waarschuwing geeft dat de verbinding niet vertrouwd is.
De installatie van het certificaat is niet binnen het bereik van dit document.
Configureer WebexVPN in de ASA met de volgende vijf belangrijke stappen:
Kies Configuratie > Firewall > Geavanceerd > certificaatbeheer > identiteitsbewijzen > Toevoegen. U kunt het programma installeren met het PDF12-bestand of de inhoud ervan plakken in het PEM-formaat (Privacy Enhanced Mail).
CLI:
ASA(config)# crypto ca import TrustPoint-name pkcs12 "password"
Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
MIIJUQIBAzCCCRcGCSqGSIb3DQEHAaCCCQgEggkEMIIJADCCBf8GCSqGSIb3DQEH
BqCCBfAwggXsAgEAMIIF5QYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQI8F3N
+vkvjUgCAggAgIIFuHFrV6enVflNv3sBByB/yZswhELY5KpeALbXhfrFDpLNncAB
z3xMfg6JkLYR6Fag1KjShg+o4qkDh8r9y9GQpaBt8x3Ozo0JJxSAafmTWqDOEOS/
7mHsaKMoao+pv2LqKTWh0O7No4Ycx75Y5sOhyuQGPhLJRdionbi1s1ioe4Dplx1b
--- output ommited ---
Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
MIIJUQIBAzCCCRcGCSqGSIb3DQEHAaCCCQgEggkEMIIJADCCBf8GCSqGSIb3DQEH
BqCCBfAwggXsAgEAMIIF5QYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQI8F3N
+vkvjUgCAggAgIIFuHFrV6enVflNv3sBByB/yZswhELY5KpeALbXhfrFDpLNncAB
z3xMfg6JkLYR6Fag1KjShg+o4qkDh8r9y9GQpaBt8x3Ozo0JJxSAafmTWqDOEOS/
7mHsaKMoao+pv2LqKTWh0O7No4Ycx75Y5sOhyuQGPhLJRdionbi1s1ioe4Dplx1b
quit
INFO: Import PKCS12 operation completed successfully
Optie 2 - Maak een zelfondertekend certificaat.
Kies Configuratie > Firewall > Geavanceerd > certificaatbeheer > identiteitsbewijzen > Toevoegen.
Klik op de knop Een nieuw identiteitsbewijs toevoegen. Controleer het vakje voor eigen certificaat genereren. Kies een gezamenlijke naam (CN) die aan domeinnaam van de ASA overeenkomt.
Klik op Nieuw om de toetsencombinatie voor het certificaat te maken. Kies het sleuteltype, de naam en de grootte.
CLI:
ASA(config)# crypto key generate ecdsa label ECDSA_KEYPAIR noconfirm
ASA(config)# crypto ca trustpoint TrustPoint1
ASA(config-ca-trustpoint)# revocation-check none
ASA(config-ca-trustpoint)# id-usage ssl-ipsec
ASA(config-ca-trustpoint)# no fqdn
ASA(config-ca-trustpoint)# subject-name CN=ASA
ASA(config-ca-trustpoint)# enrollment self
ASA(config-ca-trustpoint)# keypair ECDSA_KEYPAIR
ASA(config-ca-trustpoint)# exit
ASA(config)# crypto ca enroll TrustPoint1 noconfirm
Kies Configuration > Remote Access VPN > Advanced > SSL-instellingen. Kies in het menu Certificaten het vertrouwen dat aan het gewenste certificaat voor de externe interface is gekoppeld. Klik op toepassen.
Equivalente CLI-configuratie:
ASA(config)# ssl trust-pointoutside
WebVPN server werkt als een proxy voor clientverbindingen. Het betekent dat de ASA verbindingen met de middelen creëert voor de cliënt. Als de klanten verbindingen met de middelen nodig hebben die domeinnamen gebruiken, dan moet de ASA de DNS raadpleging uitvoeren.
Kies Configuration > Remote Access VPN > DNS.
Configuratie van minstens één DNS server en laat DNS raadpleging op de interface toe die met de DNS server te maken heeft.
CLI:
ASA(config)# dns domain-lookup inside
ASA(config)# dns server-group DefaultDNS
ASA(config-dns-server-group)# name-server 10.11.12.101
Kies Configuration > Remote Access VPN > Clientloze SSL VPN-toegang > Groepsbeleid > Intern groepsbeleid toevoegen.
Wijzig onder General Opties de waarde van de Tunelling Protocols in "Clientless SSL VPN".
CLI:
ASA(config)# group-policy WEBVPN_Group_Policy internal
ASA(config)# group-policy WEBVPN_Group_Policy attributes
ASA(config-group-policy)# vpn-tunnel-protocol ssl-clientless
Kies in ASDM de optie Configuration > Remote Access VPN > Clientloze SSL VPN Access > Connection-profielen.
Voor een overzicht van de verbindingsprofielen en het groepsbeleid, raadpleeg Cisco ASA Series VPN CLI Configuration Guide, 9.4 - Connection Profiles, Group Policy en Gebruikers.
Standaard gebruiken de WebVPN-verbindingen het profiel DefaultWEBVPN. U kunt extra profielen maken.
Bewerk het profiel DefaultWEBVTgroepsprofiel en kies WEBVPN_Group_Policy onder Standaardgroepsbeleid.
CLI:
ASA(config)# tunnel-group DefaultWEBVPNGroup general-attributes
ASA(config-tunnel-general)# default-group-policy WEBVPN_Group_Policy
Controleer het selectieteken Toegang toestaan naast de externe interface.
CLI:
ASA(config)# webvpn
ASA(config-webvpn)# enable outside
Bladwijzers staan de gebruiker toe om eenvoudig de interne bronnen te bladeren zonder de URL’s te onthouden.
Kies Configuration > Remote Access VPN > Clientloze SSL VPN Access > Portal > Bookmarks > Add om een favoriet te maken.
Kies Toevoegen om een specifieke favoriet toe te voegen.
CLI:
Het is onmogelijk om favorieten te maken via CLI omdat ze als XML bestanden worden gemaakt.
Kies Configuration > Remote Access VPN > Clientloze SSL VPN-toegang > Groepsbeleid > Bewerken > Portal > Bookmark-lijst.
CLI:
ASA(config)# group-policy DfltGrpPolicy attributes
ASA(config-group-policy)# webvpn
ASA(config-group-webvpn)# url-list value My_Bookmarks
Zodra WebVPN is geconfigureerd gebruikt u het adres https://<FQDN van de ASA> in de browser.
Nadat u hebt gelogd, kunt u de adresbalk zien die wordt gebruikt om naar websites en de bladwijzers te navigeren.
Volg deze instructies om uw configuratie problemen op te lossen.
Kies in ASDM de optie Monitoring > Vastlegging > Realtime logvenster > View. Wanneer een cliënt zich verbindt met de ASA, noteer de instelling van de TLS sessie, selectie van groepsbeleid en succesvolle authenticatie van de gebruiker.
CLI:
ASA(config)# logging buffered debugging
ASA(config)# show logging
Kies in ASDM Monitoring > VPN > VPN Statistieken > Sessies > Filter door: Clientloze SSL VPN. Zoek de nieuwe WebVPN sessie. Kies het WebVPN-filter en klik op Filter. Als er een probleem optreedt, passeert u tijdelijk het ASA-apparaat om ervoor te zorgen dat klanten toegang hebben tot de gewenste netwerkbronnen. Bekijk de configuratiestappen in dit document.
CLI:
ASA(config)# show vpn-sessiondb webvpn
Session Type: WebVPN
Username : admin Index : 3
Public IP : 10.229.20.77
Protocol : Clientless
License : AnyConnect Premium
Encryption : Clientless: (1)AES128 Hashing : Clientless: (1)SHA256
Bytes Tx : 72214 Bytes Rx : 270241
Group Policy : WEBVPN_Group_Policy Tunnel Group : DefaultWEBVPNGroup
Login Time : 10:40:04 UTC Tue May 26 2015
Duration : 0h:05m:21s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a1516010000300055644d84
Security Grp : none
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
toon website - Er zijn veel show opdrachten verbonden met WebVPN. Zie het gedeelte met de opdrachtreferentie van de Cisco security applicatie voor meer informatie over het gebruik van opdrachten in detail van de show.
debug webVPN - Het gebruik van debug-opdrachten kan een negatieve invloed hebben op de ASA. Zie het gedeelte met deopdracht van de Cisco security applicatie om in detail het gebruik van debug-opdrachten te zien.
Probleem
Het bericht "Clientless (browser) SSL VPN toegang is niet toegestaan." verschijnt in de browser na een onsuccesvolle inlogpoging. De AnyConnect Premium-licentie is niet op de ASA geïnstalleerd of is niet in gebruik zoals wordt aangegeven door "Premium AnyConnect-licentie is niet op de ASA ingeschakeld."
Oplossing
Schakel de Premium AnyConnect-licentie in met deze opdrachten:
ASA(config)# webvpn
ASA(config-webvpn)# no anyconnect-essentials
Probleem
Het bericht "Aanmelden mislukt" verschijnt in de browser na een onsuccesvolle inlogpoging. De AnyConnect-licentielimiet is overschreden.
Oplossing
Bekijk dit bericht in de weblogs:
%ASA-4-716023: Group <DfltGrpPolicy> User <cisco> IP <192.168.1.100>
Session could not be established: session limit of 2 reached.
Controleer ook uw licentielimiet:
ASA(config)# show version | include Premium
AnyConnect Premium Peers : 2 perpetual
Probleem
Het bericht "AnyConnect is niet ingeschakeld op de VPN-server" verschijnt in de browser na een onsuccesvolle inlogpoging. Het clientloze VPN-protocol is niet ingeschakeld in het groepsbeleid.
Oplossing
Bekijk dit bericht in de weblogs:
%ASA-6-716002: Group <DfltGrpPolicy> User <cisco> IP <192.168.1.100>
WebVPN session terminated: Client type not supported.
Zorg ervoor dat het clientloze VPN-protocol is ingeschakeld voor het gewenste groepsbeleid:
ASA(config)# show run all group-policy | include vpn-tunnel-protocol
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-clientless
Probleem
Slechts drie WebVPN cliënten kunnen met de ASA verbinden. De verbinding voor de vierde client mislukt.
Oplossing
In de meeste gevallen houdt dit probleem verband met een instelling voor gelijktijdige inloggen binnen het groepsbeleid. Gebruik deze illustratie om het gewenste aantal gelijktijdige inloggen te configureren. In dit voorbeeld is de gewenste waarde 20.
ASA(config)# group-policy Cisco attributes
ASA(config-group-policy)# vpn-simultaneous-logins 20
Probleem
Als deze bladwijzers zodanig zijn geconfigureerd dat gebruikers zich aan de clientloze VPN konden aanmelden, maar op het thuisscherm onder "Web Toepassingen" verschijnen ze in grijswaarden, hoe kan ik deze HTTP-links dan inschakelen zodat de gebruikers op ze kunnen klikken en in de specifieke URL kunnen gaan?
Oplossing
U dient er eerst voor te zorgen dat de ASA de websites via DNS kan oplossen. Probeer de websites onder de naam te pingelen. Als de ASA de naam niet kan oplossen, wordt de link grijs weergegeven. Als de DNS-servers intern op uw netwerk zijn, moet u de DNS-domeinlookup-privé-interface configureren.
Probleem
De foutmelding "de ICS-client heeft een beschadigd beeldbestand ontvangen." vindt plaats voor Citrix via WebVPN.
Oplossing
Als u de beveiligde gateway-modus gebruikt voor een Citrixverbinding via WebVPN, kan het ICA-bestand beschadigd raken. Omdat de ASA niet compatibel is met deze modus van de bediening, kunt u een nieuw ICA-bestand maken in de Direct Mode (niet-beveiligde modus).
Probleem
Wanneer u CIFS-links opzoekt in het clientloze WebVPN-portaal, wordt u gevraagd om aanmeldingsgegevens nadat u op de favoriet klikt. Lichtgewicht Directory Access Protocol (LDAP) wordt gebruikt om zowel de bronnen als de gebruikers die al LDAP aanmeldingsgegevens hebben ingevoerd, voor de VPN-sessie echt te maken.
Oplossing
U kunt in dit geval de optie Automatisch signaleren gebruiken. Onder het specifieke groep-beleid dat en onder zijn eigenschappen WebVPN wordt gebruikt, moet u dit configureren:
ASA(config)# group-policy WEBVPN_Group_Policy attributes
ASA(config-group-policy)# webvpn
ASA(config-group-webvpn)# auto-signon allow uri cifs://X.X.X.X/* auth-type all
waarin X.X.X=IP van de CIFS-server en *=rest van het pad om het betrokken bestand/de betreffende map te bereiken, wordt gebruikt.
Hier wordt een voorbeeld van de configuratie getoond:
ASA(config)# group-policy ExamplePolicy attributes
ASA(config-group-policy)# webvpn
ASA(config-group-webvpn)# auto-signon allow uri
https://*.example.com/* auth-type all
Zie SSO configureren met HTTP Basic of NTLM Verificatie voor meer informatie hierover.