ASA 8.x : Split-tunneling toestaan voor AnyConnect VPN-client in het ASA-configuratievoorbeeld

Downloadopties

PDF (306.2 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (97.5 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (93.8 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:2 oktober 2009

Document-id:100936

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Achtergrondinformatie

Configureren

Netwerkdiagram

ASA configuratie met ASDM 6.0(2)

ASA CLI configureren

De SSL VPN-verbinding tot stand brengen met SVC

Verifiëren

Problemen oplossen

Gerelateerde informatie

Inleiding

Dit document bevat stapsgewijze instructies hoe Cisco AnyConnect VPN-client toegang tot internet kan worden verleend terwijl de client is getunneld in een Cisco adaptieve security applicatie (ASA) 8.0.2. Met deze configuratie krijgt de client beveiligde toegang tot bedrijfsbronnen via SSL en krijgt de client onbeveiligde toegang tot internet met behulp van gesplitste tunneling.

Voorwaarden

Vereisten

Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

ASA security applicatie moet versie 8.x uitvoeren
Cisco AnyConnect VPN-client 2.x

Opmerking: Download het AnyConnect VPN-clientpakket (AnyConnect-win*.pkg) van Cisco Software Download (alleen geregistreerde klanten). Kopieer de AnyConnect VPN-client naar het flitsgeheugen van de ASA, dat moet worden gedownload naar de externe gebruikerscomputers om de SSL VPN-verbinding met de ASA tot stand te brengen. Raadpleeg het gedeelte AnyConnect-client installeren in de ASA-configuratiehandleiding voor meer informatie.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco 5500 Series ASA waarin softwareversie 8.0(2) wordt uitgevoerd
Cisco AnyConnect SSL VPN-clientversie voor Windows 2.0.0343
PC die Microsoft Visa, Windows XP SP2 of Windows 2000 Professional SP4 met Microsoft Installer versie 3.1
Cisco Adaptive Security Device Manager (ASDM), versie 6.0(2)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

De Cisco AnyConnect VPN-client biedt beveiligde SSL-verbindingen met het security apparaat voor externe gebruikers. Zonder een eerder geïnstalleerde client voeren externe gebruikers het IP-adres in in hun browser van een interface die is geconfigureerd om SSL VPN-verbindingen te accepteren. Tenzij het security apparaat is geconfigureerd om http:// verzoeken naar https:// te sturen, moeten gebruikers de URL invoeren in het formulier https://<adres>.

Na het invoeren van de URL, de browser verbindt met die interface en toont het login scherm. Als de gebruiker voldoet aan de login en authenticatie, en het security apparaat identificeert de gebruiker als vereisen van de client, het downloadt de client die overeenkomt met het besturingssysteem van de computer op afstand. Na het downloaden installeert en configureert de client zichzelf, vestigt een beveiligde SSL-verbinding en blijft of verwijdert zichzelf (afhankelijk van de configuratie van het security apparaat) wanneer de verbinding wordt verbroken.

In het geval van een eerder geïnstalleerde client, wanneer de gebruiker authenticeert, onderzoekt het security apparaat de revisie van de client en upgrades de client indien nodig.

Wanneer de client een SSL VPN-verbinding met het security apparaat onderhandelt, maakt hij verbinding met behulp van Transport Layer Security (TLS) en naar keuze Datagram Transport Layer Security (DTLS). DTLS vermijdt latentie- en bandbreedteproblemen die aan sommige SSL-verbindingen zijn gekoppeld en verbetert de prestaties van realtime toepassingen die gevoelig zijn voor pakketvertragingen.

De AnyConnect-client kan worden gedownload van het security apparaat of de systeembeheerder kan de client handmatig op de externe pc installeren. Raadpleeg de Cisco AnyConnect VPN-clientbeheerdershandleiding voor meer informatie over het handmatig installeren van de client.

Het security apparaat downloadt de client op basis van het groepsbeleid of de gebruikersnaam van de gebruiker die de verbinding tot stand brengt. U kunt het beveiligingstoestel configureren om automatisch de client te downloaden, of u kunt het configureren om de externe gebruiker te vragen of hij de client moet downloaden. In het laatste geval, als de gebruiker niet reageert, kunt u het security apparaat configureren om de client na een tijdelijke periode te downloaden of de inlogpagina te tonen.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Dit zijn RFC 1918 adressen die in een laboratoriumomgeving zijn gebruikt.

ASA configuratie met ASDM 6.0(2)

Dit document gaat ervan uit dat de basisconfiguratie, zoals de interfaceconfiguratie, al gemaakt is en goed werkt.

Opmerking: zie Toegang tot HTTPS voor ASDM toestaan om de ASA te kunnen configureren door de ASDM.

Opmerking: WebVPN en ASDM kunnen niet op dezelfde ASA-interface worden ingeschakeld, tenzij u de poortnummers wijzigt. Raadpleeg ASDM en Web VPN Enabled op dezelfde interface van ASA voor meer informatie.

Voltooi deze stappen om SSL VPN op ASA te configureren met gesplitste tunneling:

Kies Configuratie > Externe toegang VPN > Netwerktoegang (client) > Adresbeheer > Adrespools > Toevoegen om een VPN-adrespool te maken.

Klik op Apply (Toepassen).

Equivalente CLI-configuratie:

Cisco ASA 8.0(2)
ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0

Web VPN inschakelen.

Kies Configuratie > Externe toegang VPN > Netwerktoegang (client) > SSL VPN-verbindingsprofielen en klik onder Toegangsinterfaces op de selectievakjes Toegang toestaan en DTLS voor de buiteninterface inschakelen. Selecteer ook het selectievakje Cisco AnyConnect VPN-client of oudere SSL VPN-clienttoegang inschakelen op de interface die in de onderstaande tabel is geselecteerd om SSL VPN aan de buiteninterface in te schakelen.
Klik op Apply (Toepassen).
Kies Configuratie > Externe toegang VPN > Netwerktoegang (client) > Geavanceerd > SSL VPN > Clientinstellingen > Toevoegen om het clientbeeld van Cisco AnyConnect VPN uit het flitsgeheugen van ASA toe te voegen zoals aangegeven.
Klik op OK.

Klik op Add (Toevoegen).

Equivalente CLI-configuratie:

Cisco ASA 8.0(2)
ciscoasa(config)#webvpn ciscoasa(config-webvpn)#enable outside ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1 ciscoasa(config-webvpn)#tunnel-group-list enable ciscoasa(config-webvpn)#svc enable

Cisco ASA 8.0(2)

ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#enable outside
ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1
ciscoasa(config-webvpn)#tunnel-group-list enable
ciscoasa(config-webvpn)#svc enable

Groepsbeleid configureren.

Kies Configuratie > Externe toegang VPN > Netwerktoegang (client) > Groepsbeleid om een interne clientgroep voor groepsbeleid te maken. Selecteer onder het tabblad Algemeen het aanvinkvakje SSL VPN Client om WebVPN als tunnelprotocol in te schakelen.
In het tabblad Geavanceerd > Split-tunneling deselecteert u het aankruisvakje Inherit voor het Split-tunnelbeleid en kiest u hieronder in de vervolgkeuzelijst de optie Tunnelnetwerklijst.
Schakel het aanvinkvakje Inherit uit voor de netwerklijst van de Split-tunnel en klik vervolgens op Beheer om de ACL-beheer te starten.
Kies in ACL Manager Add > Add ACL... om een nieuwe toegangslijst te maken.
Typ een naam voor de ACL en klik op OK.
Zodra de ACL-naam is gemaakt, kiest u Add > Add ACE om een Access Control Entry (ACE) toe te voegen.

Bepaal het ACE dat aan LAN achter ASA beantwoordt. In dit geval is het netwerk 10.77.241.128/26 en selecteer Permit als de Actie.
Klik op OK om ACL Manager af te sluiten.
Zorg dat de ACL die u zojuist hebt gemaakt, is geselecteerd voor de netwerklijst met splitste tunnels. Klik op OK om naar de configuratie van het groepsbeleid terug te keren.
Klik op de hoofdpagina op Toepassen en vervolgens verzenden (indien nodig) om de opdrachten naar de ASA te verzenden.
Configureer de SSL VPN-instellingen onder Groepsbeleidsmodus.
1. Voor de optie Installateur op clientsysteem behouden, deselecteert u het aanvinkvakje Inherit en klikt u op de knop Ja.
  
  Hierdoor kan de SVC-software op de clientmachine blijven. Daarom hoeft de ASA de SVC-software niet telkens wanneer een verbinding wordt gemaakt naar de client te downloaden. Deze optie is een goede keuze voor externe gebruikers die vaak toegang hebben tot het bedrijfsnetwerk.
2. Klik op Aanmeldingsinstelling om de instelling voor het achteraf inloggen in te stellen en de selectie voor het standaard achteraf inloggen op de afbeelding in te stellen.
3. Voor de optie Heronderhandelingsinterval uitschakelt u het vakje Inherit uit, het selectievakje Onbeperkt en voert u het aantal minuten in totdat u opnieuw inschakelt.
  
  De beveiliging wordt verbeterd door limieten in te stellen aan de tijdsduur dat een sleutel geldig is.
4. Voor de optie Heronderhandelingsmethode deselecteert u het aanvinkvakje Inherit en klikt u op het keuzerondje SSL.
  
  Heronderhandeling kan de huidige SSL-tunnel of een nieuwe tunnel gebruiken die uitdrukkelijk voor heronderhandeling is gemaakt.

Klik op OK en pas het toe.

Equivalente CLI-configuratie:

Cisco ASA 8.0(2)
ciscoasa(config)#access-list split-tunnel standard permit 10.77.241.128 255.255.255.1922 ciscoasa(config)#group-policy clientgroup internal ciscoasa(config)#group-policyclientgroup attributes ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified ciscoasa(config-group-policy)#split-tunnel-network-list value split-tunnel ciscoasa(config-group-policy)#webvpn ciscoasa(config-group-webvpn)#svc ask none default svc ciscoasa(config-group-webvpn)#svc keep-installer installed ciscoasa(config-group-webvpn)#svc rekey time 30 ciscoasa(config-group-webvpn)#svc rekey method ssl

Cisco ASA 8.0(2)

ciscoasa(config)#access-list split-tunnel standard permit 10.77.241.128 255.255.255.1922
 ciscoasa(config)#group-policy clientgroup internal
ciscoasa(config)#group-policyclientgroup attributes
ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn
ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)#split-tunnel-network-list value split-tunnel
ciscoasa(config-group-policy)#webvpn
ciscoasa(config-group-webvpn)#svc ask none default svc
ciscoasa(config-group-webvpn)#svc keep-installer installed
ciscoasa(config-group-webvpn)#svc rekey time 30
ciscoasa(config-group-webvpn)#svc rekey method ssl

Kies Configuratie > Externe toegang VPN > AAA-instelling > Lokale gebruikers > Toevoegen om een nieuwe gebruikersaccount ssluser1 te maken. Klik op OK en pas toe.

Equivalente CLI-configuratie:
Cisco ASA 8.0(2)
ciscoasa(config)#username ssluser1 password asdmASA@
Kies Configuratie > Externe toegang VPN > AAA-instelling > AAA-servergroepen > Bewerken om de standaardservergroep LOKAAL aan te passen door het aanvinkvakje Lokale gebruiker inschakelen met de maximale waarde voor pogingen in te schakelen op 16.
Klik op OK en pas het toe.

Equivalente CLI-configuratie:
Cisco ASA 8.0(2)
ciscoasa(config)#aaa local authentication attempts max-fail 16

Cisco ASA 8.0(2)
ciscoasa(config)#username ssluser1 password asdmASA@

Cisco ASA 8.0(2)
ciscoasa(config)#aaa local authentication attempts max-fail 16

Tunnelgroep configureren.

Kies Configuratie > Externe toegang VPN > Netwerktoegang (client) > SSL VPN-verbindingsprofielen Verbindingsprofielen > Toevoegen om een nieuwe tunnelgroep subgroep te maken.
Op het tabblad Basic kunt u de lijst met configuraties uitvoeren zoals hieronder wordt weergegeven:
- Geef de tunnelgroep een naam als subgroep.
- Kies onder Toewijzing clientadres de vpnpool adressenpool uit de vervolgkeuzelijst.
- Kies onder Standaardgroepsbeleid de clientgroep groepsbeleid in de vervolgkeuzelijst.
Specificeer onder het tabblad SSL VPN > Connection Aliases de groep alias naam als subgroup_users en klik op OK.

Klik op OK en pas het toe.

Equivalente CLI-configuratie:

Cisco ASA 8.0(2)
ciscoasa(config)#tunnel-group sslgroup type remote-access ciscoasa(config)#tunnel-group sslgroup general-attributes ciscoasa(config-tunnel-general)#address-pool vpnpool ciscoasa(config-tunnel-general)#default-group-policy clientgroup ciscoasa(config-tunnel-general)#exit ciscoasa(config)#tunnel-group sslgroup webvpn-attributes ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

Cisco ASA 8.0(2)

ciscoasa(config)#tunnel-group sslgroup type remote-access
ciscoasa(config)#tunnel-group sslgroup general-attributes
ciscoasa(config-tunnel-general)#address-pool vpnpool
ciscoasa(config-tunnel-general)#default-group-policy clientgroup
ciscoasa(config-tunnel-general)#exit
ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

Configureer NAT.

Kies Configuratie > Firewall > NAT-regels > Dynamische NAT-regel toevoegen zodat het verkeer dat van het binnennetwerk komt, kan worden vertaald met het externe IP-adres 172.16.1.5.
Klik op OK.
Klik op OK.

Klik op Apply (Toepassen).

Equivalente CLI-configuratie:

Cisco ASA 8.0(2)
ciscoasa(config)#global (outside) 1 172.16.1.5 ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0

Configureer de NAT-vrijstelling voor het retourverkeer van binnen het netwerk naar de VPN-client.

ciscoasa(config)#access-list nonat permit ip 10.77.241.0 192.168.10.0
ciscoasa(config)#access-list nonat permit ip 192.168.10.0 10.77.241.0
ciscoasa(config)#nat (inside) 0 access-list nonat

ASA CLI configureren

Cisco ASA 8.0(2)
ciscoasa(config)#show running-config : Saved : ASA Version 8.0(2) ! hostname ciscoasa domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif inside security-level 100 ip address 10.77.241.142 255.255.255.192 ! interface Ethernet0/1 nameif outside security-level 0 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted boot system disk0:/asa802-k8.bin ftp mode passive clock timezone IST 5 30 dns server-group DefaultDNS domain-name default.domain.invalid access-list split-tunnel standard permit 10.77.241.128 255.255.255.192 !--- ACL for Split Tunnel network list for encryption. access-list nonat permit ip 10.77.241.0 192.168.10.0 access-list nonat permit ip 192.168.10.0 10.77.241.0 !--- ACL to define the traffic to be exempted from NAT. pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0 !--- The address pool for the Cisco AnyConnect SSL VPN Clients no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-602.bin no asdm history enable arp timeout 14400 global (outside) 1 172.16.1.5 !--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP. nat (inside) 0 access-list nonat !--- The traffic permitted in "nonat" ACL is exempted from NAT. nat (inside) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 172.16.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart no crypto isakmp nat-traversal telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global webvpn enable outside !--- Enable WebVPN on the outside interface svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1 !--- Assign an order to the AnyConnect SSL VPN Client image svc enable !--- Enable the security appliance to download SVC images to remote computers tunnel-group-list enable !--- Enable the display of the tunnel-group list on the WebVPN Login page group-policy clientgroup internal !--- Create an internal group policy "clientgroup" group-policy clientgroup attributes vpn-tunnel-protocol svc !--- Specify SSL as a permitted VPN tunneling protocol split-tunnel-policy tunnelspecified split-tunnel-network-list value split-tunnel !--- Encrypt the traffic specified in the split tunnel ACL only webvpn svc keep-installer installed !--- When the security appliance and the SVC perform a rekey, they renegotiate !--- the crypto keys and initialization vectors, increasing the security of the connection. svc rekey time 30 !--- Command that specifies the number of minutes from the start of the !--- session until the rekey takes place, from 1 to 10080 (1 week). svc rekey method ssl !--- Command that specifies that SSL renegotiation takes place during SVC rekey. svc ask none default svc username ssluser1 password ZRhW85jZqEaVd5P. encrypted !--- Create a user account "ssluser1" tunnel-group sslgroup type remote-access !--- Create a tunnel group "sslgroup" with type as remote access tunnel-group sslgroup general-attributes address-pool vpnpool !--- Associate the address pool vpnpool created default-group-policy clientgroup !--- Associate the group policy "clientgroup" created tunnel-group sslgroup webvpn-attributes group-alias sslgroup_users enable !--- Configure the group alias as sslgroup-users prompt hostname context Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9 : end ciscoasa(config)#

Cisco ASA 8.0(2)

ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list split-tunnel standard permit 10.77.241.128 255.255.255.192

!--- ACL for Split Tunnel network list for encryption.

access-list nonat permit ip 10.77.241.0 192.168.10.0
access-list nonat permit ip 192.168.10.0 10.77.241.0

!--- ACL to define the traffic to be exempted from NAT.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP.

nat (inside) 0 access-list nonat

!--- The traffic permitted in "nonat" ACL is exempted from NAT.


nat (inside) 1 0.0.0.0 0.0.0.0


route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface


 svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image

 
svc enable


!--- Enable the security appliance to download SVC images to remote computers

 
tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
 vpn-tunnel-protocol svc


!--- Specify SSL as a permitted VPN tunneling protocol

 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-tunnel


!--- Encrypt the traffic specified in the split tunnel ACL only


 webvpn
  svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, they renegotiate !--- the crypto keys and initialization vectors, increasing the security of the connection.

  
 svc rekey time 30


!--- Command that specifies the number of minutes from the start of the !--- session until the rekey takes place, from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation takes place during SVC rekey.


  svc ask none default svc

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

De SSL VPN-verbinding tot stand brengen met SVC

Voltooi de volgende stappen om een SSL VPN-verbinding met ASA tot stand te brengen:

Voer de URL of het IP-adres van de WebVPN-interface van de ASA in in uw webbrowser in de indeling zoals aangegeven op de afbeelding.
```
https://url
```
OF
```
https://<IP address of the ASA WebVPN interface>
```
Voer uw gebruikersnaam en wachtwoord in. Kies ook uw respectievelijke groep in de vervolgkeuzelijst zoals aangegeven op de afbeelding.

Dit venster verschijnt voordat de SSL VPN verbinding tot stand wordt gebracht.

Opmerking: de ActiveX-software moet op uw computer zijn geïnstalleerd voordat u de SVC downloadt.

U ontvangt dit venster zodra de verbinding tot stand is gebracht.
Klik op het slot dat op de taakbalk van uw computer wordt weergegeven.

Dit venster verschijnt en geeft informatie over de SSL-verbinding. Bijvoorbeeld, 192.168.10.1 is toegewezen IP door ASA, enz.

Dit venster toont de informatie over de clientversie van Cisco AnyConnect VPN.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

toon webvpn svc—Hier worden de SVC-beelden weergegeven die in het ASA-flitsgeheugen zijn opgeslagen.

ciscoasa#show webvpn svc
1. disk0:/anyconnect-win-2.0.0343-k9.pkg 1
  CISCO STC win2k+
  2,0,0343
  Mon 04/23/2007  4:16:34.63

1 SSL VPN Client(s) installed

toon vpn-sessiondb svc—Hier wordt de informatie over de huidige SSL-verbindingen weergegeven.

ciscoasa#show vpn-sessiondb svc

Session Type: SVC

Username     : ssluser1               Index        : 12
Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
Protocol     : Clientless SSL-Tunnel DTLS-Tunnel
Encryption   : RC4 AES128             Hashing      : SHA1
Bytes Tx     : 194118                 Bytes Rx     : 197448
Group Policy : clientgroup            Tunnel Group : sslgroup
Login Time   : 17:12:23 IST Mon Mar 24 2008
Duration     : 0h:12m:00s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

toon webvpn groep-alias-Toont het geconfigureerde alias voor verschillende groepen.

ciscoasa#show webvpn group-alias
Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled

In ASDM kies Bewaking > VPN > VPN-statistieken > Sessies om de huidige WebVPN-sessies in de ASA te kennen.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

vpn-sessiondb-afsluitnaam <gebruikersnaam> —Opdracht om de SSL VPN-sessie af te sluiten voor de specifieke gebruikersnaam.

ciscoasa#vpn-sessiondb logoff name ssluser1
Do you want to logoff the VPN session(s)? [confirm] Y
INFO: Number of sessions with name "ssluser1" logged off : 1

ciscoasa#Called vpn_remove_uauth: success!
webvpn_svc_np_tear_down: no ACL
webvpn_svc_np_tear_down: no IPv6 ACL
np_svc_destroy_session(0xB000)

Op dezelfde manier kunt u de vpn-sessiondb logoff svc-opdracht gebruiken om alle SVC-sessies te beëindigen.

Opmerking: als de pc overschakelt naar de stand-by- of slaapmodus, kan de SSL VPN-verbinding worden beëindigd.

webvpn_rx_data_cstp
webvpn_rx_data_cstp: got message
SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, e
tc)
Called vpn_remove_uauth: success!
webvpn_svc_np_tear_down: no ACL
webvpn_svc_np_tear_down: no IPv6 ACL
np_svc_destroy_session(0xA000)

ciscoasa#show vpn-sessiondb svc
INFO: There are presently no active sessions

debug webvpn svc <1-255> —Hier vindt u de real-time webvpn-gebeurtenissen om de sessie vast te stellen.

Ciscoasa#debug webvpn svc 7

webvpn_rx_data_tunnel_connect
CSTP state = HEADER_PROCESSING
http_parse_cstp_method()
...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
webvpn_cstp_parse_request_field()
...input: 'Host: 172.16.1.1'
Processing CSTP header line: 'Host: 172.16.1.1'
webvpn_cstp_parse_request_field()
...input: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343'
Processing CSTP header line: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343
'
Setting user-agent to: 'Cisco AnyConnect VPN Client 2, 0, 0343'
webvpn_cstp_parse_request_field()
...input: 'Cookie: webvpn=16885952@12288@1206098825@D251883E8625B92C1338D631B08B
7D75F4EDEF26'
Processing CSTP header line: 'Cookie: webvpn=16885952@12288@1206098825@D251883E8
625B92C1338D631B08B7D75F4EDEF26'
Found WebVPN cookie: 'webvpn=16885952@12288@1206098825@D251883E8625B92C1338D631B
08B7D75F4EDEF26'
WebVPN Cookie: 'webvpn=16885952@12288@1206098825@D251883E8625B92C1338D631B08B7D7
5F4EDEF26'
webvpn_cstp_parse_request_field()
...input: 'X-CSTP-Version: 1'
Processing CSTP header line: 'X-CSTP-Version: 1'
Setting version to '1'
webvpn_cstp_parse_request_field()
...input: 'X-CSTP-Hostname: tacweb'
Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
Setting hostname to: 'tacweb'
webvpn_cstp_parse_request_field()
...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
webvpn_cstp_parse_request_field()
...input: 'X-CSTP-MTU: 1206'
Processing CSTP header line: 'X-CSTP-MTU: 1206'
webvpn_cstp_parse_request_field()
...input: 'X-CSTP-Address-Type: IPv4'
Processing CSTP header line: 'X-CSTP-Address-Type: IPv4'
webvpn_cstp_parse_request_field()
...input: 'X-DTLS-Master-Secret: CE151BA2107437EDE5EC4F5EE6AEBAC12031550B1812D40
642E22C6AFCB9501758FF3B7B5545973C06F6393C92E59693'
Processing CSTP header line: 'X-DTLS-Master-Secret: CE151BA2107437EDE5EC4F5EE6AE
BAC12031550B1812D40642E22C6AFCB9501758FF3B7B5545973C06F6393C92E59693'
webvpn_cstp_parse_request_field()
...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3
-SHA:DES-CBC-SHA'
Validating address: 0.0.0.0
CSTP state = WAIT_FOR_ADDRESS
webvpn_cstp_accept_address: 192.168.10.1/0.0.0.0
CSTP state = HAVE_ADDRESS
No subnetmask... must calculate it
SVC: NP setup
np_svc_create_session(0x3000, 0xD41611E8, TRUE)
webvpn_svc_np_setup
SVC ACL Name: NULL
SVC ACL ID: -1
SVC ACL ID: -1
vpn_put_uauth success!
SVC IPv6 ACL Name: NULL
SVC IPv6 ACL ID: -1
SVC: adding to sessmgmt
SVC: Sending response
Unable to initiate NAC, NAC might not be enabled or invalid policy
CSTP state = CONNECTED
webvpn_rx_data_cstp
webvpn_rx_data_cstp: got internal message
Unable to initiate NAC, NAC might not be enabled or invalid policy

In ASDM, kies Bewaking > Vastlegging > Real-time Logviewer > Weergave om de real-time gebeurtenissen te zien.

Dit voorbeeld laat zien dat de SSL-sessie is ingesteld met het head-end apparaat.