Пример настройки доступа к локальной сети клиента AnyConnect и клиента VPN

Введение

 В этом документе описывается, как разрешить клиенту Cisco VPN или Cisco AnyConnect Secure Mobility доступ к локальной сети только при туннелировании в многофункциональное устройство обеспечения безопасности Cisco ASA серии 5500 или ASA серии 5500-X. Эта конфигурация разрешает клиентам Cisco VPN или Cisco AnyConnect Secure Mobility безопасный доступ к корпоративным ресурсам через IPsec, уровень защищенных сокетов (SSL) или по протоколу Internet Key Exchange версии 2 (IKEv2), в то же время предоставляя возможность локально выполнять такие действия, как печать. Если это разрешено, трафик, предназначенный для Интернета, по-прежнему туннелируется к устройству ASA. 

Примечание. Эта конфигурация не предназначена для разделенного туннелирования, когда клиенту предоставляется незашифрованный доступ к Интернету при подключении к ASA или PIX. Подробное описание настройки сети VPN на базе IPSec между двумя узлами в устройстве защиты Cisco с версией ПО 7.x см. в документе PIX/ASA 7.x: Настройка разделенного туннелирования для клиентов VPN на примере конфигурации ASA для получения информации о том, как настроить разделенное туннелирование на устройстве ASA. 

Предварительные условия

Требования

В этом документе предполагается, что функциональная конфигурация VPN для удаленного доступа уже существует на устройстве ASA.

 См. PIX/ASA 7.x как удаленный VPN-сервер на примере конфигурации ASDM для клиента Cisco VPN Client, если он еще не настроен.   

 См. Доступ к VPN через ASA 8.x на примере конфигурации клиента AnyConnect SSL VPN Client для клиента Cisco AnyConnect Secure Mobility Client, если он еще не настроен.  

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

• Cisco ASA 5500 версии 9(2)1
• Cisco Adaptive Security Device Manager (ASDM) версии 7.1.6
• Cisco VPN Client версии 5.0.07.0440
• Cisco AnyConnect Secure Mobility версии 3.1.05152

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Схема сети

Клиент находится в типичной сети малого / домашнего офиса (SOHO) и подключается через Интернет к главному офису.

Общие сведения

В отличие от классического сценария раздельного туннелирования, в котором весь трафик Интернета отправляется нешифрованным, при разрешении доступа к локальной сети для VPN-клиентов, таким клиентам разрешается обмениваться нешифрованными данными только с устройствами из сети клиента. Например, клиент, которому разрешен локальный доступ к LAN при наличии подключения к устройству ASA из дома, может выполнять печать на собственном принтере, но не имеет доступа к Интернету без предварительной передачи трафика по туннелю.

Список доступа используется, чтобы разрешить доступ к локальной сети подобно тому, как в устройстве ASA настраивается раздельное туннелирование. Однако вместо определения сетей, которые должны шифроваться, в данном случае список доступа определяет сети, которые не должны шифроваться.   Кроме того, в отличие от сценария раздельного туннелирования, в таком списке не требуется указывать действительные сети. Вместо этого устройство ASA предоставляет сеть по умолчанию 0.0.0.0/255.255.255.255, которая воспринимается как локальная сеть клиента.

Примечание. Когда клиент подключен и настроен для доступа к локальной сети, вы не можете выполнять печать или просмотр по имени в локальной сети.  Однако имеется возможность просмотра или печати по IP-адресу. См. раздел Поиск и устранение неполадок этого документа для получения дополнительной информации, а также сведений о временных решениях для этой ситуации. 

Настройка доступа к локальной сети для VPN-клиентов или клиента AnyConnect Secure Mobility Client

Выполните следующие действия, чтобы разрешить клиентам Cisco VPN или Cisco AnyConnect Secure Mobility доступ к их локальной сети при наличии подключения к устройству ASA:

• Настройте ASA через ASDM или Настройка ASA через интерфейс командной строки
• Настройка клиента Cisco AnyConnect Secure Mobility

Настройка ASA через ASDM

Выполните следующие действия в ASDM, чтобы разрешить клиентам VPN доступ к локальной сети при наличии подключения к устройству ASA:

1.   Выберите Configuration> Remote Access VPN> Network (Client) Access> Group Policy (Конфигурация > VPN для удаленного доступа > Доступ к сети (клиент) > Групповая политика) и выберите групповую политику, в которой следует включить доступ к локальной сети.  Затем нажмите Edit (Редактировать).
   
   

   

   
   
   
2. Перейдите в меню Advanced > Split Tunneling (Дополнительно > Разделенное туннелирование).
   
   

   

   
   
   
3.  Снимите флажок Inherit (Наследовать) для политики и выберите Exclude Network List Below (Исключить список сетей ниже).  
   
   

   

   
   
   
4.  Снимите флажок Inherit (Наследовать) для списка сетей и затем нажмите Manage (Управление), чтобы запустить диспетчер списков контроля доступа (ACL Manager).   
   
   

   

   
   
   
5.  В приложении ACL Manager, последовательно выберите Add > Add ACL..., чтобы создать новый список доступа. 
   
   

   

   
   
   
6.  Укажите имя ACL и нажмите кнопку OK.
   
   

   

   
   
   
7.  После создания списка ACL выберите Добавить > Добавить ACE..., чтобы добавить элемент контроля доступа (ACE). 
   
   

   

   
   
   
8. Определите элемент контроля доступа, соответствующий локальной сети клиента.
   
   
   1.  Выберите Permit (Разрешить).
   2.  Выберите IP-адрес 0.0.0.0
   3.  Выберите маску подсети /32.
   4. Введите описание (необязательно). 
   5.  Нажмите кнопку ОК.
      
      

      

   
   
   
9.  Нажмите кнопку OK, чтобы завершить работу с приложением ACL Manager. 
   
   

   

   
   
   
10. Убедитесь, что только что созданный список контроля доступа выбран для списка сетей разделенных туннелей.
    
    

    

    
    
    
11.  Нажмите кнопку OK, чтобы вернуться к настройке групповой политики. 
    
    

    

    
    
    
12.  Нажмите кнопку Apply и затем (если потребуется) Send, чтобы отправить эти команды в модуль ASA.   
    
    

    

Настройка ASA через интерфейс командной строки

Разрешить VPN-клиентам доступ к локальной сети при наличии подключения к ASA можно не только при помощи ASDM, но и посредством интерфейса командной строки устройства ASA:

1. Переход в режим конфигурирования.
   
   

   ciscoasa>enable
   Password:
   ciscoasa#configure terminal
   ciscoasa(config)#

2. Создайте список контроля доступа, чтобы разрешить доступ к локальной сети.
   
   

   ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
   ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
   

   Внимание.  : Из-за различий в синтаксисе списка контроля доступа в версиях 8.x и 9.x программного обеспечения ASA этот список контроля доступа стал некорректным, и администраторы будут получать следующее сообщение об ошибке при попытке его настройки:
   rtpvpnoutbound6(config)# access-list test standard permit host 0.0.0.0
   Ошибка: недопустимый IP-адрес
   
   Можно использовать только следующую команду:
   rtpvpnoutbound6(config)# access-list test standard permit any4
   
    Это известная неполадка, для обхода которой был создан идентификатор ошибки Cisco CSCut3131. Выполните обновление до версии, в которой исправлена эта ошибка, чтобы иметь возможность настроить доступ к локальной сети.

3. Перейдите в режим настройки для групповой политики, которую необходимо изменить.
   
   

   ciscoasa(config)#group-policy hillvalleyvpn attributes
   ciscoasa(config-group-policy)#

4. Укажите политику раздельных туннелей. В данном случае используется политика excludespecified.
   
   

   ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
   

5. Укажите список доступа к разделенным туннелям. В данном случае используется список Local_LAN_Access.
   
   

   ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
   

6. Введите следующую команду:
   
   

   ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
   

7. Привяжите групповую политику к туннельной группе
   
   

   ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
   

8. Выйдите из обоих режимов конфигурирования.
   
   

   ciscoasa(config-group-policy)#exit
   ciscoasa(config)#exit
   ciscoasa#

9.  Сохраните конфигурацию в энергонезависимой памяти (NVRAM) и нажмите клавишу ВВОД, когда будет предложено указать имя файла источника. 
   
   

   ciscoasa#copy running-config startup-config
   
   Source filename [running-config]?
   Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
   
   3847 bytes copied in 3.470 secs (1282 bytes/sec)
   ciscoasa#

Настройка клиента Cisco AnyConnect Secure Mobility

  Для настройки клиента Cisco AnyConnect Secure Mobility обратитесь к разделу Установление VPN-соединения на базе SSL с SVC документа ASA 8.x:  Разрешить раздельное туннелирование для VPN Client AnyConnect на примере конфигурации ASA.

 Для раздельного туннелирования типа Split-exclude необходимо включить AllowLocalLanAccess в клиенте AnyConnect. Раздельное туннелирование типа All split-exclude рассматривается как доступ к локальной сети.  Для использования функции исключения в раздельном туннелировании необходимо включить опцию AllowLocalLanAccess в настройках VPN-клиента AnyConnect.  По умолчанию доступ к локальной сети отключен. 

Для того чтобы разрешить доступ к локальной сети и, следовательно, раздельное туннелирование с исключением, администратор сети может включить его в профиле. Либо пользователи могут включить его в пользовательских параметрах настройки (см. иллюстрацию в следующем разделе).  Для того чтобы разрешить доступ к локальной сети, пользователь устанавливает флажок Разрешить доступ к локальной сети, если раздельное туннелирование включено на защищенном шлюзе и настроено с использованием политикиsplit-tunnel-policy exclude specified.     Кроме того, можно настроить профиль VPN-клиента, если доступ к локальной сети разрешен с помощью опции <LocalLanAccess UserControllable="true">true</LocalLanAccess>.

Пользовательские настройки

Для того чтобы разрешить доступ к локальной сети, в клиенте Cisco AnyConnect Secure Mobility на вкладке Preferences (Настройки) необходимо сделать следующие настройки.

Пример профиля XML

Показан пример настройки профиль VPN-клиента с использованием XML.

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
 xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
    <ClientInitialization>
        <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
        <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
        <ShowPreConnectMessage>false</ShowPreConnectMessage>
        <CertificateStore>All</CertificateStore>
        <CertificateStoreOverride>false</CertificateStoreOverride>
        <ProxySettings>Native</ProxySettings>
        <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
        <AuthenticationTimeout>12</AuthenticationTimeout>
        <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
        <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
        <LocalLanAccess UserControllable="true">true</LocalLanAccess>
        <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
        <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
        <AutoReconnect UserControllable="false">true
            <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
            </AutoReconnectBehavior>
        </AutoReconnect>
        <AutoUpdate UserControllable="false">true</AutoUpdate>
        <RSASecurIDIntegration UserControllable="false">Automatic
        </RSASecurIDIntegration>
        <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
        <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
        <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
        <PPPExclusion UserControllable="false">Disable
            <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
        </PPPExclusion>
        <EnableScripting UserControllable="false">false</EnableScripting>
        <EnableAutomaticServerSelection UserControllable="false">false
            <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
            <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
        </EnableAutomaticServerSelection>
        <RetainVpnOnLogoff>false
        </RetainVpnOnLogoff>
    </ClientInitialization>
</AnyConnectProfile>

Проверка

Выполните действия, описанные в этих разделах, чтобы проверить конфигурацию.

• Просмотрите DART
• Проверка доступа к локальной сети с помощью эхо-запроса

Подключите клиент Cisco AnyConnect Secure Mobility к устройству ASA, чтобы проверить конфигурацию.

1.  Выберите запись соединения из списка серверов и нажмите Connect (Подключить).
   
   

   

   
   
   
2.   Выберите Advanced Window for All Components > Statistics... (Дополнительное окно для всех компонентов > Статистика...) для отображения туннельного режима.  
   
   

   

   
   
   
3. Нажмите вкладку Route Details (Сведения о маршрутах), чтобы просмотреть маршруты, к которым у клиента Cisco AnyConnect Secure Mobility Client по-прежнему есть локальный доступ. 
   
   В данном примере клиенту разрешен доступ к локальной сети по адресу 10.150.52.0/22 и 169.254.0.0/16, а весь прочий трафик зашифрован и передается через туннель.
   
   

Клиент Cisco AnyConnect Secure Mobility

При изучении журналов AnyConnect из комплекта средств диагностики и создания отчетов (DART) можно определить, установлен ли параметр, разрешающий доступ к локальной сети.

******************************************

Date        : 11/25/2011
Time        : 13:01:48
Type        : Information
Source      : acvpndownloader

Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP: 
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains: 
TrustedDNSServers: 
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true



******************************************

Проверка доступа к локальной сети с помощью эхо-запроса

   Дополнительный способ проверить наличие доступа VPN-клиента к локальной сети при использовании туннелирования к головному устройству VPN состоит в использовании команды ping в командной строке Microsoft Windows. В приведенном примере локальная сеть клиента имеет адрес 192.168.0.0/24, а другой хост находится в сети с IP-адресом 192.168.0.3.

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Невозможность печати или просмотра по имени

 Когда VPN-клиент подключен и настроен для доступа к локальной сети, в данной сети печать или просмотр по имени невозможны. Имеется два пути обхода такой ситуации:

• Просмотр или печать по IP-адресу.
  
  
  •  Для просмотра вместо синтаксиса \\общее_имя используйте синтаксис \\x.x.x.x, где x.x.x.x — это IP-адрес хост-компьютера.    
    
    
  • Для печати измените свойства сетевого принтера для использования IP-адреса вместо имени. Например, вместо синтаксиса \\общее_имя\имя_принтера используйте \\x.x.x.x\имя_принтера, где x.x.x.x — IP-адрес.   
• Создание и изменение файла VPN-клиента LMHOSTS. Файл LMHOSTS на ПК с ОС Microsoft Windows позволяет создавать статические отображения между именами хостов и IP-адресами. Например, файл LMHOSTS может иметь следующее содержание:
  
  

  192.168.0.3 SERVER1
  192.168.0.4 SERVER2
  192.168.0.5 SERVER3

  
   В версии Microsoft Windows XP Professional Edition файл LMHOSTS расположен в папке %SystemRoot %\System32\Drivers\Etc. Обратитесь к документации Microsoft или статье базы знаний Microsoft 314108 для получения дополнительной информации. 

Дополнительные сведения

• PIX/ASA 7.x в качестве удаленного VPN-сервера с использованием примера конфигурации ASDM
• Пример конфигурации клиента SSL VPN на IOS с помощью SDM
• CISCO ASA 5500 SERIES ADAPTIVE SECURITY APPLIANCES
• Cisco Systems – техническая поддержка и документация