Este documento fornece uma configuração direta para o Cisco Adaptive Security Appliance (ASA) 5500 Series para permitir o acesso VPN SSL (Secure Sockets Layer) sem cliente aos recursos de rede internos. A rede privada virtual SSL sem cliente (WebVPN) permite acesso limitado, mas valioso, à rede corporativa a partir de qualquer local. Os usuários podem obter acesso seguro baseado em navegador aos recursos corporativos a qualquer momento. Nenhum cliente adicional é necessário para obter acesso a recursos internos. O acesso é fornecido usando uma conexão Hypertext Transfer Protocol sobre SSL.
A VPN SSL sem cliente fornece acesso seguro e fácil a uma ampla variedade de recursos da Web e aplicativos habilitados para a Web e herdados de praticamente qualquer computador que possa acessar sites HTTP (Hypertext Transfer Protocol Internet). Isso inclui:
Uma lista de softwares compatíveis pode ser encontrada em Plataformas VPN suportadas, Cisco ASA 5500 Series.
Certifique-se de atender a estes requisitos antes de tentar esta configuração:
A lista completa de requisitos pode ser encontrada em Plataformas VPN suportadas, Cisco ASA 5500 Series.
As informações neste documento são baseadas nestas versões de software e hardware:
The information in this document was created from the devices in a specific lab environment. Todos os dispositivos usados neste documento começaram com uma configuração limpa (padrão). If your network is live, make sure that you understand the potential impact of any command.
Este artigo descreve o processo de configuração do ASDM e da CLI. Você pode optar por seguir qualquer uma das ferramentas para configurar o WebVPN, mas algumas das etapas de configuração só podem ser realizadas com o ASDM.
Este documento utiliza a seguinte configuração de rede:
A WebVPN usa o protocolo SSL para proteger os dados transferidos entre o cliente e o servidor. Quando o navegador inicia uma conexão com o ASA, o ASA apresenta seu certificado para se autenticar no navegador. Para garantir que a conexão entre o cliente e o ASA seja segura, você precisa fornecer ao ASA o certificado assinado pela autoridade de certificação em que o cliente já confia. Caso contrário, o cliente não terá os meios para verificar a autenticidade do ASA, o que resulta na possibilidade de um ataque intermediário e uma experiência de usuário ruim, pois o navegador produz um aviso de que a conexão não é confiável.
A instalação do certificado está fora do escopo deste documento.
Configure o WebVPN no ASA com cinco etapas principais:
Escolha Configuração > Firewall > Avançado > Gerenciamento de Certificados > Certificados de Identidade > Adicionar. Você pode instalá-lo com o arquivo pkcs12 ou colar o conteúdo no formato Privacy Enhanced Mail (PEM).
CLI:
ASA(config)# crypto ca import TrustPoint-name pkcs12 "password"
Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
MIIJUQIBAzCCCRcGCSqGSIb3DQEHAaCCCQgEggkEMIIJADCCBf8GCSqGSIb3DQEH
BqCCBfAwggXsAgEAMIIF5QYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQI8F3N
+vkvjUgCAggAgIIFuHFrV6enVflNv3sBByB/yZswhELY5KpeALbXhfrFDpLNncAB
z3xMfg6JkLYR6Fag1KjShg+o4qkDh8r9y9GQpaBt8x3Ozo0JJxSAafmTWqDOEOS/
7mHsaKMoao+pv2LqKTWh0O7No4Ycx75Y5sOhyuQGPhLJRdionbi1s1ioe4Dplx1b
--- output ommited ---
Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
MIIJUQIBAzCCCRcGCSqGSIb3DQEHAaCCCQgEggkEMIIJADCCBf8GCSqGSIb3DQEH
BqCCBfAwggXsAgEAMIIF5QYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQI8F3N
+vkvjUgCAggAgIIFuHFrV6enVflNv3sBByB/yZswhELY5KpeALbXhfrFDpLNncAB
z3xMfg6JkLYR6Fag1KjShg+o4qkDh8r9y9GQpaBt8x3Ozo0JJxSAafmTWqDOEOS/
7mHsaKMoao+pv2LqKTWh0O7No4Ycx75Y5sOhyuQGPhLJRdionbi1s1ioe4Dplx1b
quit
INFO: Import PKCS12 operation completed successfully
Opção 2 - Crie um certificado autoassinado.
Escolha Configuração > Firewall > Avançado > Gerenciamento de Certificados > Certificados de Identidade > Adicionar.
Clique no botão de rádio Add a new identity certificate (Adicionar um novo certificado de identidade). Marque a caixa de seleção Gerar certificado autoassinado. Escolha um nome comum (CN) que corresponda ao nome de domínio do ASA.
Clique em New para criar o par de chaves para o certificado. Escolha o tipo, o nome e o tamanho da chave.
CLI:
ASA(config)# crypto key generate ecdsa label ECDSA_KEYPAIR noconfirm
ASA(config)# crypto ca trustpoint TrustPoint1
ASA(config-ca-trustpoint)# revocation-check none
ASA(config-ca-trustpoint)# id-usage ssl-ipsec
ASA(config-ca-trustpoint)# no fqdn
ASA(config-ca-trustpoint)# subject-name CN=ASA
ASA(config-ca-trustpoint)# enrollment self
ASA(config-ca-trustpoint)# keypair ECDSA_KEYPAIR
ASA(config-ca-trustpoint)# exit
ASA(config)# crypto ca enroll TrustPoint1 noconfirm
Escolha Configuration > Remote Access VPN > Advanced > SSL Settings. No menu Certificados, escolha o ponto de confiança associado ao certificado desejado para a interface externa. Clique em Apply.
Configuração via CLI Equivalente:
ASA(config)# ssl trust-pointoutside
O servidor WebVPN atua como um proxy para conexões de clientes. Isso significa que o ASA cria conexões com os recursos em nome do cliente. Se os clientes precisarem de conexões com os recursos que usam nomes de domínio, o ASA precisará executar a pesquisa de DNS.
Escolha Configuration > Remote Access VPN > DNS.
Configure pelo menos um servidor DNS e ative as pesquisas DNS na interface que enfrenta o servidor DNS.
CLI:
ASA(config)# dns domain-lookup inside
ASA(config)# dns server-group DefaultDNS
ASA(config-dns-server-group)# name-server 10.11.12.101
Escolha Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies > Add Internal Group Policy.
Em Opções gerais, altere o valor de Protocolos de tunelamento para "VPN SSL sem cliente".
CLI:
ASA(config)# group-policy WEBVPN_Group_Policy internal
ASA(config)# group-policy WEBVPN_Group_Policy attributes
ASA(config-group-policy)# vpn-tunnel-protocol ssl-clientless
No ASDM, escolha Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles.
Para obter uma visão geral dos perfis de conexão e das políticas de grupo, consulte Cisco ASA Series VPN CLI Configuration Guide, 9.4 - Connection Profiles, Group Policies e Users.
Por padrão, as conexões WebVPN usam o perfil DefaultWEBVPNGroup. Você pode criar perfis adicionais.
Edite o perfil DefaultWEBVPNGroup e escolha WEBVPN_Group_Policy em Default Group Policy.
CLI:
ASA(config)# tunnel-group DefaultWEBVPNGroup general-attributes
ASA(config-tunnel-general)# default-group-policy WEBVPN_Group_Policy
Marque a caixa de seleção Permitir acesso ao lado da interface externa.
CLI:
ASA(config)# webvpn
ASA(config-webvpn)# enable outside
Os marcadores permitem que o usuário navegue facilmente pelos recursos internos sem ter que se lembrar dos URLs.
Para criar um indicador, escolha Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Bookmarks > Add.
Escolha Adicionar para adicionar um favorito específico.
CLI:
É impossível criar marcadores via CLI porque eles são criados como arquivos XML.
Escolha Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies > Edit > Portal > Bookmark List.
CLI:
ASA(config)# group-policy DfltGrpPolicy attributes
ASA(config-group-policy)# webvpn
ASA(config-group-webvpn)# url-list value My_Bookmarks
Depois que a WebVPN tiver sido configurada, use o endereço https://<FQDN do ASA> no navegador.
Após fazer login, você poderá ver a barra de endereços usada para navegar para sites e marcadores.
Siga estas instruções para solucionar problemas de sua configuração.
No ASDM, escolha Monitoring > Logging > Real-time Log Viewer > View. Quando um cliente se conecta ao ASA, observe o estabelecimento da sessão TLS, a seleção da política de grupo e a autenticação bem-sucedida do usuário.
CLI:
ASA(config)# logging buffered debugging
ASA(config)# show logging
No ASDM, escolha Monitoring > VPN > VPN Statistics > Sessions > Filter by: VPN SSL sem cliente. Procure a nova sessão WebVPN. Escolha o filtro WebVPN e clique em Filtro. Se ocorrer um problema, ignore temporariamente o dispositivo ASA para garantir que os clientes possam acessar os recursos de rede desejados. Reveja as etapas de configuração listadas neste documento.
CLI:
ASA(config)# show vpn-sessiondb webvpn
Session Type: WebVPN
Username : admin Index : 3
Public IP : 10.229.20.77
Protocol : Clientless
License : AnyConnect Premium
Encryption : Clientless: (1)AES128 Hashing : Clientless: (1)SHA256
Bytes Tx : 72214 Bytes Rx : 270241
Group Policy : WEBVPN_Group_Policy Tunnel Group : DefaultWEBVPNGroup
Login Time : 10:40:04 UTC Tue May 26 2015
Duration : 0h:05m:21s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a1516010000300055644d84
Security Grp : none
A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
show webvpn - Há muitos comandos show associados ao WebVPN. Para ver o uso dos comandos show em detalhes, consulte a seção referência de comando do Cisco Security Appliance.
debug webvpn - O uso de comandos debug pode afetar adversamente o ASA. Para ver o uso de comandos debug em mais detalhes, consulte a seção referência de comando do Cisco Security Appliance.
Problema
A mensagem "Acesso VPN SSL sem cliente (navegador) não é permitida." aparece no navegador após uma tentativa de login malsucedida. A licença do AnyConnect Premium não está instalada no ASA ou não está sendo usada como mostrado pela "licença do Premium AnyConnect não está habilitada no ASA".
Solução
Ative a licença Premium do AnyConnect com estes comandos:
ASA(config)# webvpn
ASA(config-webvpn)# no anyconnect-essentials
Problema
A mensagem "Falha de login" aparece no navegador após uma tentativa de login malsucedida. O limite de licença do AnyConnect foi excedido.
Solução
Procure esta mensagem nos registros:
%ASA-4-716023: Group <DfltGrpPolicy> User <cisco> IP <192.168.1.100>
Session could not be established: session limit of 2 reached.
Além disso, verifique seu limite de licença:
ASA(config)# show version | include Premium
AnyConnect Premium Peers : 2 perpetual
Problema
A mensagem "AnyConnect is not enabled on the VPN server" (O AnyConnect não está habilitado no servidor VPN) é exibida no navegador após uma tentativa de login malsucedida. O protocolo VPN sem cliente não está ativado na política de grupo.
Solução
Procure esta mensagem nos registros:
%ASA-6-716002: Group <DfltGrpPolicy> User <cisco> IP <192.168.1.100>
WebVPN session terminated: Client type not supported.
Verifique se o protocolo VPN sem cliente está ativado para a política de grupo desejada:
ASA(config)# show run all group-policy | include vpn-tunnel-protocol
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-clientless
Problema
Apenas três clientes WebVPN podem se conectar ao ASA. A conexão para o quarto cliente falha.
Solução
Na maioria dos casos, esse problema está relacionado a uma configuração de login simultâneo na política de grupo. Use esta ilustração para configurar o número desejado de logins simultâneos. Neste exemplo, o valor desejado é 20.
ASA(config)# group-policy Cisco attributes
ASA(config-group-policy)# vpn-simultaneous-logins 20
Problema
Se esses marcadores foram configurados para que os usuários acessem a VPN sem cliente, mas na tela inicial em "Aplicações da Web" eles aparecerão como acinzentados, como posso ativar esses links HTTP para que os usuários possam clicar neles e ir para a URL específica?
Solução
Primeiro, você deve certificar-se de que o ASA possa resolver os sites por meio do DNS. Tente fazer ping nos sites por nome. Se o ASA não puder resolver o nome, o link ficará acinzentado. Se os servidores DNS forem internos à sua rede, configure a interface privada de pesquisa de domínio DNS.
Problema
A mensagem de erro "o cliente ica recebeu um arquivo ica corrompido." ocorre para Citrix sobre WebVPN.
Solução
Se você usar o modo de gateway seguro para conexão Citrix por meio de WebVPN, o arquivo ICA poderá corromper. Como o ASA não é compatível com esse modo de operação, crie um novo arquivo ICA no modo direto (modo não seguro).
Problema
Ao acessar links CIFS no portal WebVPN sem cliente, você será solicitado a fornecer credenciais após clicar no indicador. O LDAP (Lightweight Diretory Access Protocol) é usado para autenticar os recursos e os usuários já inseriram credenciais LDAP para fazer login na sessão VPN.
Solução
Você pode usar o recurso de assinatura automática neste caso. Sob a política de grupo específica sendo usada e sob seus atributos WebVPN, configure isto:
ASA(config)# group-policy WEBVPN_Group_Policy attributes
ASA(config-group-policy)# webvpn
ASA(config-group-webvpn)# auto-signon allow uri cifs://X.X.X.X/* auth-type all
onde X.X.X.X=IP do servidor CIFS e *=restante do caminho para acessar o arquivo/pasta de compartilhamento em questão.
Um exemplo de trecho de configuração é mostrado aqui:
ASA(config)# group-policy ExamplePolicy attributes
ASA(config-group-policy)# webvpn
ASA(config-group-webvpn)# auto-signon allow uri
https://*.example.com/* auth-type all
Para obter mais informações sobre isso, consulte Configurando SSO com autenticação HTTP Basic ou NTLM.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
05-Jan-2016 |
Versão inicial |