В документации к этому продукту мы стремимся использовать непредвзятый язык. В целях данного комплекта документации под термином «непредвзятый» понимается язык, который не подразумевает дискриминацию по возрасту, нетрудоспособности, полу, расовой принадлежности, национальной принадлежности, сексуальной ориентации, социально-экономическому статусу и интерсекциональности. Исключения могут присутствовать в документации из-за языка, который жестко запрограммирован в интерфейсе программного обеспечения продукта, языка, используемого на основе документации RFP, или языка стороннего продукта, на который ссылается данный документ. Узнайте больше о том, как Cisco использует инклюзивный язык.
Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.
В этом документе описывается, как разрешить клиенту Cisco VPN или Cisco AnyConnect Secure Mobility доступ к локальной сети только при туннелировании в многофункциональное устройство обеспечения безопасности Cisco ASA серии 5500 или ASA серии 5500-X. Эта конфигурация разрешает клиентам Cisco VPN или Cisco AnyConnect Secure Mobility безопасный доступ к корпоративным ресурсам через IPsec, уровень защищенных сокетов (SSL) или по протоколу Internet Key Exchange версии 2 (IKEv2), в то же время предоставляя возможность локально выполнять такие действия, как печать. Если это разрешено, трафик, предназначенный для Интернета, по-прежнему туннелируется к устройству ASA.
Примечание. Эта конфигурация не предназначена для разделенного туннелирования, когда клиенту предоставляется незашифрованный доступ к Интернету при подключении к ASA или PIX. Подробное описание настройки сети VPN на базе IPSec между двумя узлами в устройстве защиты Cisco с версией ПО 7.x см. в документе PIX/ASA 7.x: Настройка разделенного туннелирования для клиентов VPN на примере конфигурации ASA для получения информации о том, как настроить разделенное туннелирование на устройстве ASA.
В этом документе предполагается, что функциональная конфигурация VPN для удаленного доступа уже существует на устройстве ASA.
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Клиент находится в типичной сети малого / домашнего офиса (SOHO) и подключается через Интернет к главному офису.
В отличие от классического сценария раздельного туннелирования, в котором весь трафик Интернета отправляется нешифрованным, при разрешении доступа к локальной сети для VPN-клиентов, таким клиентам разрешается обмениваться нешифрованными данными только с устройствами из сети клиента. Например, клиент, которому разрешен локальный доступ к LAN при наличии подключения к устройству ASA из дома, может выполнять печать на собственном принтере, но не имеет доступа к Интернету без предварительной передачи трафика по туннелю.
Список доступа используется, чтобы разрешить доступ к локальной сети подобно тому, как в устройстве ASA настраивается раздельное туннелирование. Однако вместо определения сетей, которые должны шифроваться, в данном случае список доступа определяет сети, которые не должны шифроваться. Кроме того, в отличие от сценария раздельного туннелирования, в таком списке не требуется указывать действительные сети. Вместо этого устройство ASA предоставляет сеть по умолчанию 0.0.0.0/255.255.255.255, которая воспринимается как локальная сеть клиента.
Примечание. Когда клиент подключен и настроен для доступа к локальной сети, вы не можете выполнять печать или просмотр по имени в локальной сети. Однако имеется возможность просмотра или печати по IP-адресу. См. раздел Поиск и устранение неполадок этого документа для получения дополнительной информации, а также сведений о временных решениях для этой ситуации.
Выполните следующие действия, чтобы разрешить клиентам Cisco VPN или Cisco AnyConnect Secure Mobility доступ к их локальной сети при наличии подключения к устройству ASA:
Выполните следующие действия в ASDM, чтобы разрешить клиентам VPN доступ к локальной сети при наличии подключения к устройству ASA:
Разрешить VPN-клиентам доступ к локальной сети при наличии подключения к ASA можно не только при помощи ASDM, но и посредством интерфейса командной строки устройства ASA:
ciscoasa>enable
Password:
ciscoasa#configure terminal
ciscoasa(config)#
ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
Внимание. : Из-за различий в синтаксисе списка контроля доступа в версиях 8.x и 9.x программного обеспечения ASA этот список контроля доступа стал некорректным, и администраторы будут получать следующее сообщение об ошибке при попытке его настройки:
rtpvpnoutbound6(config)# access-list test standard permit host 0.0.0.0
Ошибка: недопустимый IP-адрес
Можно использовать только следующую команду:
rtpvpnoutbound6(config)# access-list test standard permit any4
Это известная неполадка, для обхода которой был создан идентификатор ошибки Cisco CSCut3131. Выполните обновление до версии, в которой исправлена эта ошибка, чтобы иметь возможность настроить доступ к локальной сети.
ciscoasa(config)#group-policy hillvalleyvpn attributes
ciscoasa(config-group-policy)#
ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
ciscoasa(config-group-policy)#exit
ciscoasa(config)#exit
ciscoasa#
ciscoasa#copy running-config startup-config
Source filename [running-config]?
Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
3847 bytes copied in 3.470 secs (1282 bytes/sec)
ciscoasa#
Для настройки клиента Cisco AnyConnect Secure Mobility обратитесь к разделу Установление VPN-соединения на базе SSL с SVC документа ASA 8.x: Разрешить раздельное туннелирование для VPN Client AnyConnect на примере конфигурации ASA.
Для раздельного туннелирования типа Split-exclude необходимо включить AllowLocalLanAccess в клиенте AnyConnect. Раздельное туннелирование типа All split-exclude рассматривается как доступ к локальной сети. Для использования функции исключения в раздельном туннелировании необходимо включить опцию AllowLocalLanAccess в настройках VPN-клиента AnyConnect. По умолчанию доступ к локальной сети отключен.
Для того чтобы разрешить доступ к локальной сети и, следовательно, раздельное туннелирование с исключением, администратор сети может включить его в профиле. Либо пользователи могут включить его в пользовательских параметрах настройки (см. иллюстрацию в следующем разделе). Для того чтобы разрешить доступ к локальной сети, пользователь устанавливает флажок Разрешить доступ к локальной сети, если раздельное туннелирование включено на защищенном шлюзе и настроено с использованием политикиsplit-tunnel-policy exclude specified. Кроме того, можно настроить профиль VPN-клиента, если доступ к локальной сети разрешен с помощью опции <LocalLanAccess UserControllable="true">true</LocalLanAccess>.
Для того чтобы разрешить доступ к локальной сети, в клиенте Cisco AnyConnect Secure Mobility на вкладке Preferences (Настройки) необходимо сделать следующие настройки.
Показан пример настройки профиль VPN-клиента с использованием XML.
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic
</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
</AnyConnectProfile>
Выполните действия, описанные в этих разделах, чтобы проверить конфигурацию.
Подключите клиент Cisco AnyConnect Secure Mobility к устройству ASA, чтобы проверить конфигурацию.
При изучении журналов AnyConnect из комплекта средств диагностики и создания отчетов (DART) можно определить, установлен ли параметр, разрешающий доступ к локальной сети.
******************************************
Date : 11/25/2011
Time : 13:01:48
Type : Information
Source : acvpndownloader
Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP:
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains:
TrustedDNSServers:
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true
******************************************
Дополнительный способ проверить наличие доступа VPN-клиента к локальной сети при использовании туннелирования к головному устройству VPN состоит в использовании команды ping в командной строке Microsoft Windows. В приведенном примере локальная сеть клиента имеет адрес 192.168.0.0/24, а другой хост находится в сети с IP-адресом 192.168.0.3.
C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.
Когда VPN-клиент подключен и настроен для доступа к локальной сети, в данной сети печать или просмотр по имени невозможны. Имеется два пути обхода такой ситуации:
192.168.0.3 SERVER1 192.168.0.4 SERVER2 192.168.0.5 SERVER3