Клиент VPN и доступ клиента AnyConnect к примеру конфигурации локальной сети

Введение

Этот документ описывает, как позволить Cisco VPN Client или защищенному мобильному клиенту Cisco AnyConnect Secure Mobility только обращаться к их локальной сети, в то время как туннелировано в устройство адаптивной защиты Cisco (ASA) серия 5500 или ASA, серии 5500-X. Эта конфигурация позволяет клиенты Cisco VPN или безопасный доступ защищенного мобильного клиента Cisco AnyConnect Secure Mobility к корпоративным ресурсам через IPsec, Уровень защищенных сокетов (SSL) или вторую версию протокола Internet Key Exchange (IKEv2) и все еще дает клиенту способность выполнить действия, такие как печать, где расположен клиент. Если это разрешено, трафик, предназначенный для Интернета, все еще туннелирован к ASA. 

Примечание: Эта конфигурация не является настройкой раздельного туннелирования, при которой клиент обладает нешифрованным доступом к Интернету, оставаясь подключенным к ASA или PIX. Подробное описание настройки сети VPN на базе IPSec между двумя узлами в устройстве защиты Cisco с версией ПО 7.x см. в документе PIX/ASA 7.x: Позвольте Разделенное туннелирование для Клиентов VPN на Примере конфигурации ASA для получения информации о том, как настроить разделенное туннелирование на ASA.

Предварительные условия

Требования

Этот документ предполагает, что функциональная конфигурация VPN для удаленного доступа уже существует на ASA.

См. PIX/ASA 7.x как Удаленный VPN-сервер с помощью Примера конфигурации ASDM для Cisco VPN Client , если вы уже не настроены.

См. ASA 8.x Доступ VPN с Примером конфигурации VPN-клиента SSL (SVC) AnyConnect для защищенного мобильного клиента Cisco AnyConnect Secure Mobility , если вы уже не настроены.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

• Версия 9 (2) 1 серии 5500 Cisco ASA
• Cisco Adaptive Security Device Manager (ASDM) версия 7.1 (6)
• Версия клиентской части Cisco VPN 5.0.07.0440
• Версия 3.1.05152 защищенного мобильного клиента Cisco AnyConnect Secure Mobility

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Схема сети

Клиент расположен в типичной сети Small Office / Home Office (SOHO) и подключениях через Интернет к главному офису.

Общие сведения

В отличие от классического сценария раздельного туннелирования, в котором весь трафик Интернета отправляется нешифрованным, при разрешении доступа к локальной сети для VPN-клиентов, таким клиентам разрешается обмениваться нешифрованными данными только с устройствами из сети клиента. Например, клиент, которому разрешают доступ к локальной сети, в то время как связано с ASA из дома, в состоянии распечатать к его собственному принтеру, но не обратиться к Интернету без первой передачи трафика по туннелю.

Список доступа используется, чтобы разрешить доступ к локальной сети подобно тому, как в устройстве ASA настраивается раздельное туннелирование. Однако вместо определения сетей, которые должны шифроваться, в данном случае список доступа определяет сети, которые не должны шифроваться.   Кроме того, в отличие от сценария раздельного туннелирования, в таком списке не требуется указывать действительные сети. Вместо этого ASA предоставляет сеть по умолчанию 0.0.0.0/255.255.255.255, который, как понимают, означает локальную сеть клиента.

Примечание: Когда клиент связан и настроен для доступа к локальной сети, вы не можете распечатать или просмотреть по имени на локальной сети. Однако имеется возможность просмотра или печати по IP-адресу. Посмотрите  раздел Устранения неполадок этого документа для получения дополнительной информации, а также обходных путей для этой ситуации.

Настройте доступ к локальной сети для клиентов VPN или клиента Secure Mobility Client AnyConnect

Выполните эти задачи для разрешения доступа клиентов Cisco VPN или защищенных мобильных клиентов Cisco AnyConnect Secure Mobility к их локальной сети, в то время как связано с ASA:

• Настройте ASA через ASDM или Настройте ASA через CLI
• Настройте защищенный мобильный клиент Cisco AnyConnect Secure Mobility

Настройте ASA через ASDM

Выполните эти шаги в ASDM, чтобы позволить Клиентам VPN иметь доступ к локальной сети, в то время как связано с ASA:

1. Выберите Configuration> Remote Access VPN > Network (Client) Access> Group Policy и выберите Group Policy, в котором вы хотите включить доступ к локальной сети. Затем нажмите Edit.
   
   

   

   
   
   
2. Перейдите Усовершенствованный> Разделенное туннелирование.
   
   

   

   
   
   
3. Снимите Наследовать флажок для Политики и выберите Exclude Network List Below.
   
   

   

   
   
   
4. Снимите Наследовать флажок для Списка сети и затем нажмите Manage для запуска Менеджера Списка контроля доступа (ACL).
   
   

   

   
   
   
5.  В данном диспетчере выберите Добавить > Добавить список ACL..., чтобы создать новый список контроля доступа. 
   
   

   

   
   
   
6.  Укажите имя ACL и нажмите кнопку OK.
   
   

   

   
   
   
7.  После создания списка ACL выберите Добавить > Добавить ACE..., чтобы добавить элемент контроля доступа (ACE). 
   
   

   

   
   
   
8. Определите элемент контроля доступа, соответствующий локальной сети клиента.
   
   
   1. Выберите Permit.
   2. Выберите IP-адрес 0.0.0.0
   3. Выберите маску подсети /32.
   4. Введите описание (необязательно). 
   5.  Нажмите кнопку ОК.
      
      

      

   
   
   
9.  Нажмите кнопку OK, чтобы завершить работу с приложением ACL Manager. 
   
   

   

   
   
   
10. Убедитесь, что ACL, который вы просто создали, выбран для Списка сети Разделения туннеля.
    
    

    

    
    
    
11.  Нажмите кнопку OK, чтобы вернуться к настройке групповой политики. 
    
    

    

    
    
    
12.  Нажмите кнопку Apply и затем (если потребуется) Send, чтобы отправить эти команды в модуль ASA.   
    
    

    

Настройте ASA через CLI

Разрешить VPN-клиентам доступ к локальной сети при наличии подключения к ASA можно не только при помощи ASDM, но и посредством интерфейса командной строки устройства ASA:

1. Переход в режим конфигурирования.
   
   

   ciscoasa>enable
   Password:
   ciscoasa#configure terminal
   ciscoasa(config)#

2. Создайте список доступа для разрешения доступа к локальной сети.
   
   

   ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
   ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
   

   Внимание.  : Из-за изменений в синтаксисе списка ACL между версиями программного обеспечения ASA 8.x к 9.x, этот ACL больше не разрешается, и admin будут видеть это сообщение об ошибках, когда они попытаются настроить его:
   rtpvpnoutbound6 (config) # хост 0.0.0.0 разрешения на стандарт по проведению испытаний access-list
   Ошибка: недопустимый IP - адрес
   
   Единственная вещь, которая позволена:
   rtpvpnoutbound6 (config) # разрешение на стандарт по проведению испытаний access-list any4
   
   Это - известная неполадка и было обращено идентификатором ошибки Cisco CSCut3131. Обновление к версии с исправлением для этого дефекта, чтобы быть в состоянии настроить доступ к локальной сети.

3. Введите режим конфигурации Групповой политики для политики, которую вы хотите модифицировать.
   
   

   ciscoasa(config)#group-policy hillvalleyvpn attributes
   ciscoasa(config-group-policy)#

4. Укажите политику раздельных туннелей. В этом случае политика является excludespecified.
   
   

   ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
   

5. Укажите список доступа к разделенным туннелям. В этом случае список является Local_LAN_Access.
   
   

   ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
   

6. Введите следующую команду:
   
   

   ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
   

7. Привяжите групповую политику к туннельной группе
   
   

   ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
   

8. Выйдите из обоих режимов конфигурирования.
   
   

   ciscoasa(config-group-policy)#exit
   ciscoasa(config)#exit
   ciscoasa#

9.  Сохраните конфигурацию в энергонезависимой памяти (NVRAM) и нажмите клавишу ВВОД, когда будет предложено указать имя файла источника. 
   
   

   ciscoasa#copy running-config startup-config
   
   Source filename [running-config]?
   Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
   
   3847 bytes copied in 3.470 secs (1282 bytes/sec)
   ciscoasa#

Настройте защищенный мобильный клиент Cisco AnyConnect Secure Mobility

Для настройки защищенного мобильного клиента Cisco AnyConnect Secure Mobility обратитесь к Устанавливанию VPN-подключения на базе SSL с разделом SVC ASA 8. x: Разрешить раздельное туннелирование для VPN Client AnyConnect на примере конфигурации ASA.

Разделение - исключает туннелирование, требует, чтобы вы включили AllowLocalLanAccess в Клиенте AnyConnect. Все разделение - исключает туннелирование, рассматривается как доступ к локальной сети. Для использования исключить функции раздельного туннелирования необходимо включить  предпочтение AllowLocalLanAccess в предпочтении Клиента AnyConnect VPN Client. По умолчанию доступ к локальной сети отключен. 

Чтобы позволить доступ к локальной сети, и поэтому разделиться - исключают туннелирование, администратор сети может включить его в профиле, или пользователи могут включить его в своих привилегированных параметрах настройки (см. образ в следующем разделе). Для разрешения доступа к локальной сети пользователь устанавливает Позволять флажок Доступа к локальной сети, если раздельное туннелирование включено на защищенном шлюзе и настроено с политикой раздельных туннелей, исключают заданную политику. Кроме того, если доступ к локальной сети позволен с <LocalLanAccess UserControllable = "истинный"> истинный </LocalLanAccess>, можно настроить Профиль Клиента VPN.

Предпочтения пользователя

Вот выборы, которые необходимо сделать во вкладке Preferences на защищенном мобильном клиенте Cisco AnyConnect Secure Mobility для разрешения доступа к локальной сети.

Пример профиля XML

Вот пример того, как настроить Профиль Клиента VPN с XML.

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
 xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
    <ClientInitialization>
        <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
        <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
        <ShowPreConnectMessage>false</ShowPreConnectMessage>
        <CertificateStore>All</CertificateStore>
        <CertificateStoreOverride>false</CertificateStoreOverride>
        <ProxySettings>Native</ProxySettings>
        <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
        <AuthenticationTimeout>12</AuthenticationTimeout>
        <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
        <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
        <LocalLanAccess UserControllable="true">true</LocalLanAccess>
        <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
        <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
        <AutoReconnect UserControllable="false">true
            <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
            </AutoReconnectBehavior>
        </AutoReconnect>
        <AutoUpdate UserControllable="false">true</AutoUpdate>
        <RSASecurIDIntegration UserControllable="false">Automatic
        </RSASecurIDIntegration>
        <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
        <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
        <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
        <PPPExclusion UserControllable="false">Disable
            <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
        </PPPExclusion>
        <EnableScripting UserControllable="false">false</EnableScripting>
        <EnableAutomaticServerSelection UserControllable="false">false
            <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
            <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
        </EnableAutomaticServerSelection>
        <RetainVpnOnLogoff>false
        </RetainVpnOnLogoff>
    </ClientInitialization>
</AnyConnectProfile>

Проверка

Выполните шаги в этих разделах для проверки конфигурации.

• Просмотрите DART
• Проверка доступа к локальной сети с помощью эхо-запроса

Подключите свой защищенный мобильный клиент Cisco AnyConnect Secure Mobility с ASA для проверки конфигурации.

1. Выберите свое соединение из списка серверов и нажмите Connect.
   
   

   

   
   
   
2. Выберите Advanced Window for All Components>  Statistics... для отображения Туннельного режима. 
   
   

   

   
   
   
3. Нажмите вкладку Route Details для наблюдения маршрутов, к которым защищенный мобильный клиент Cisco AnyConnect Secure Mobility все еще имеет локальный доступ.
   
   В то время как весь другой трафик зашифрован и передан через туннель, в данном примере клиенту разрешают доступ к локальной сети к 10.150.52.0/22 и 169.254.0.0/16.
   
   

Защищенный мобильный клиент Cisco AnyConnect Secure Mobility

При исследовании журналов AnyConnect от связки (bundle) Диагностики и средства создания отчетов (DART) можно определить, установлен ли параметр, который позволяет доступ к локальной сети.

******************************************

Date        : 11/25/2011
Time        : 13:01:48
Type        : Information
Source      : acvpndownloader

Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP: 
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains: 
TrustedDNSServers: 
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true



******************************************

Проверка доступа к локальной сети с помощью эхо-запроса

Дополнительный способ протестировать это, у Клиента VPN все еще есть доступ к локальной сети, в то время как туннелировано к головной станции VPN , состоит в том, чтобы использовать  команду ping в командной строке Microsoft Windows. Вот пример, где локальная сеть клиента является 192.168.0.0/24, и другой хост присутствует в сети с IP-адресом 192.168.0.3.

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Невозможность печати или просмотра по имени

 Когда VPN-клиент подключен и настроен для доступа к локальной сети, в данной сети печать или просмотр по имени невозможны. Имеется два пути обхода такой ситуации:

• Просмотр или печать по IP-адресу.
  
  
  • Для просмотра, вместо синтаксиса \\sharename, используйте синтаксис \\x. x. x. x , где x. x. x. x является IP-адрес главного компьютера.
    
    
  • Для печати измените свойства для сетевого принтера для использования IP-адреса вместо названия. Например, вместо синтаксиса \\общее_имя\имя_принтера используйте \\x.x.x.x\имя_принтера, где x.x.x.x — IP-адрес.   
• Создание и изменение файла VPN-клиента LMHOSTS. Файл LMHOSTS на Microsoft Windows PC позволяет вам создавать статические отображения между именами хоста и IP-адресами. Например, файл LMHOSTS может иметь следующее содержание:
  
  

  192.168.0.3 SERVER1
  192.168.0.4 SERVER2
  192.168.0.5 SERVER3

  
  В Выпуске Microsoft Windows XP Professional файл LMHOSTS расположен в %SystemRoot %\System32\Drivers\Etc. См. вашу документацию microsoft или Статью базы знаний Microsoft 314108 для получения дополнительной информации.

Дополнительные сведения

• PIX/ASA 7.x как Удаленный VPN-сервер с помощью Примера конфигурации ASDM
• Пример конфигурации клиента SSL VPN на IOS с помощью SDM
• CISCO ASA 5500 SERIES ADAPTIVE SECURITY APPLIANCES
• Cisco Systems – техническая поддержка и документация