le Split Tunneling pour les clients VPN PIX/ASA 7.x - Autoriser le Split Tunneling pour les clients VPN sur l'ASA ccnp_cch

Sommaire • Rappel • Configurer le Split Tunneling sur l'ASA • Introduction - Prérequis - Composants utilisés - Schéma du réseau - Produits liés • Rappel • Configurer le Split Tunneling sur l'ASA - Configuration de l'ASA via l'ASDM - Configuration de l'ASA via la CLI • Vérification - Connexion avec le client VPN - Afficher les logs du Client VPN - Test de l'accès LAN local avec ping ccnp_cch

Introduction ccnp_cch Ce document fournit les instructions pas à pas sur comment autoriser l'accès aux clients VPN à Internet quand ils sont tunnelisés via l'ASA (Adaptive Security Appliance) Cisco série 5500. Cette configuration permet un accès sécurisé pour les clients VPN aux ressources de l'entreprise via IPSec tout en donnant un accès non sécurisé à Inter- net. Note: Le Split Tunneling peut poser des risques de sécurité quand il est configuré. Comme les clients VPN ont un accès non sécurisé à Internet, ils peuvent être corrom- pus par des attaques. L'attaquant pourrait être capable d'accéder au réseau LAN de l'entreprise via le tunnel IPSec. Un compromis entre full tunneling et split tunneling peut être d'autoriser les clients VPN à accéder uniquement au réseau LAN local. Réfé- rez-vous au document "PIX/ASA 7.x Autoriser l'accès LAN local aux clients VPN". Prérequis Ce document suppose qu'une configuration VPN accès distant existe déjà sur l'ASA. le PIX. Reférez-vous à "PIX ASA 7.x as a remote VPN server using ASDM Configuration Example" si celui-ci n'est pas configuré. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● Cisco ASA 5500 Series Security Appliance version 7.2 ● Cisco VPN Client version 4.0.5 Schéma du réseau 192.168.0.3 10.0.1.0/24 .1 192.168.0.0/24 Internet .177 .106 172.22.1.0/24 Client VPN 192.168.0.2 ccnp_cch

Rappel ccnp_cch Produits liés Cette configuration peut être aussi utilisée avec des PIX Cisco série 500 version 7.x. Rappel Dans un scénario de base VPN client vers l'ASA, tout trafic issu du client VPN est cryp- té et transmis vers l'ASA quelque soit la destination. Basé sur votre configuration et le nombre d'utilisateurs supportés, une telle configuration peut devenir consommatrice de bande passante. Le Split Tunneling peut aider à résoudre ce problème car il permet de transmettre uniquement le trafic qui est destiné au réseau d'entreprise à travers le tunnel. Tout autre trafic tel la messagerie instantanée, l'e-mail ou l'exploration de fi- chiers est transmis vers Internet via le réseau local du client VPN. Configurer le Split tunneling sur l'ASA Configurer l'ASA avec l'ASDM (Adaptive Security Device Manager) Exécutez ces étapes pour configurer votre groupe tunnel pour permettre le Split Tun- neling pour les utilisateurs dans le groupe. 1. Choisissez Configuration> VPN> General> Group Policy et sélectionnez la politi- que de groupe pour laquelle vous voulez valider l'accès au LAN local. Cliquez ensui- te sur Edit. ccnp_cch

2. Allez sur l'onglet Client Configuration. ccnp_cch

3. Décochez la boîte Inherit pour Split Tunneling Policy et choisissez Exclude Network List below. ccnp_cch

4. Décochez la boite Inherit pour Split Tunnel Network List et cliquez sur Manage pour lancer l'ACL Manager. ccnp_cch

5. Dans l'ACL Manager choisissez Add> Add ACL… pour créer une nouvelle liste d'accès. 6. Donnez un nom pour l'ACL puis cliquez sur Ok. ccnp_cch

7. Une fois que l'ACL est créee, choisissez Add> Add ACE… pour ajouter une Access Control Liste Entry (ACE). ccnp_cch

ccnp_cch 8. Définissez l'ACE qui correspond au LAN local du client. a. Choisissez permit b. Choisissez une adresse IP égale à 0.0.0.0 c. Choisissez un masque égal à 255.255.255.255 d. (Optionnel) Donnez une description e. Cliquez sur Ok ccnp_cch

ccnp_cch 9. Cliquez sur Ok pour sortir de l'ACL Manager. 10. Assurez-vous que l'ACL que vous venez de créer est sélectionnée pour Split Tunnel Network List. ccnp_cch

11. Cliquez sur Ok pour retourner à la configuration Group Policy. ccnp_cch

12. Cliquez sur Apply et ensuite Send (si requis) pour transmettre les commandes à l'ASA. Configurer l'ASA via la CLI Au lieu d'utiliser l'ASDM, vous pouvez exécuter ces étapes en utilisant la CLI pour autoriser le Split Tunneling sur l'ASA. 1. Entrez en mode configuration ciscoasa>enable Password: ********* ciscoasa#configure terminal ciscoasa(config)# 2. Créez une liste d'accès qui définit le réseau derrière l'ASA. ciscoasa(config)#access−list Split_Tunnel_List remark The corporate network behind the ASA ciscoasa(config)#access−list Split_Tunnel_List standard permit 10.0.1.0 255.255.255.0 ccnp_cch

Vérification ccnp_cch 3. Entrez en mode de configuration Group Policy pour la politique que vous voulez modifier. ciscoasa(config)#group−policy hillvalleyvpn attributes ciscoasa(config−group−policy)# 4. Spécifiez la politique de partage de tunnel. Dans ce cas la liste d'accès est tunnelspecified. ciscoasa(config−group−policy)#split−tunnel−policy tunnelspecified 5. Spécifiez la liste d'accès split tunnel. Dans ce cas la liste d'accès est Split_Tunnel_List. ciscoasa(config−group−policy)#split−tunnel−network−list value Split_Tunnel_List 6. Sortir des deux modes de configuration. ciscoasa(config−group−policy)#exit ciscoasa(config)#exit ciscoasa# 7. Sauvegarder la configuration en NVRAM et pressez Entrer quand on vous demande de spécifier le nom de fichier source. ciscoasa#copy running−config startup−config Source filename [running−config]? Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a 3847 bytes copied in 3.470 secs (1282 bytes/sec) Vérification Suivre ces étapes dans ces sections pour vérifier votre configuration. ● Connectez vous avec le Client VPN ● Afficher les logs du Client VPN ● Testez l'accès LAN local avec Ping Se connecter avec le client VPN Connectez votre Client VPN au concentrateur VPN pour vérifier votre configuration. 1. Choisissez votre entrée de connexion et cliquez sur Connect. ccnp_cch

ccnp_cch 2. Entrez vos coordonnées. 3. Choisissez Status> Statistics pour afficher la fenêtre Tunnel Details sur laquelle vous pouvez vérifier les particularités du tunnel et voir le flux de trafic. Vous pouvez également voir que le LAN local est validé dans la section Transport. ccnp_cch

Afficher les logs du Client VPN 4. Allez sur l'onglet Route Details pour voir si les routes auxquelles le Client VPN a toujours l'accès au LAN local. Dans cet exemple, le Client VPN a le droit d'accéder au LAN local 10.0.1.0/24 tandis que le reste du trafic n'est pas crypté et n'est pas transmis sur le tunnel. Afficher les logs du Client VPN Quand vous examinez les logs du client VPN, vous pouvez déterminer ou non si les paramètres qui spécifient le Split Tunneling sont présents. Pour voir les logs, allez sur l'onglet Log dans le Client VPN. Ensuite cliquez sur Log Settings pour valider ce qui doit être loggé. Dans cet exemple, IKE est fixé à 3-High tandis que les autre élé- ments de log sont fixés à 1- Low. ccnp_cch

ccnp_cch Cisco Systems VPN Client Version 4.0.5 (Rel) Copyright (C) 1998−2003 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Windows, WinNT Running on: 5.1.2600 Service Pack 2 1 14:20:09.532 07/27/06 Sev=Info/6 IKE/0x6300003B Attempting to establish a connection with 172.22.1.160. !−−− Sortie supprimée 18 14:20:14.188 07/27/06 Sev=Info/5 IKE/0x6300005D Client sending a firewall request to concentrator 19 14:20:14.188 07/27/06 Sev=Info/5 IKE/0x6300005C Firewall Policy: Product=Cisco Systems Integrated Client, Capability= (Centralized Protection Policy). 20 14:20:14.188 07/27/06 Sev=Info/5 IKE/0x6300005C Firewall Policy: Product=Cisco Intrusion Prevention Security Agent, Capability= (Are you There?). 21 14:20:14.208 07/27/06 Sev=Info/4 IKE/0x63000013 SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160 22 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x6300002F Received ISAKMP packet: peer = 172.22.1.160 23 14:20:14.208 07/27/06 Sev=Info/4 IKE/0x63000014 RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160 24 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x63000010 MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50 25 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x63000010 MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0 26 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x6300000D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000 27 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x6300000D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000 28 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x6300000E MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems, Inc ASA5510 Version 7.2(1) built by root on Wed 31−May−06 14:45 !−−− Split tunneling est permit et le LAN distant est défini. ccnp_cch

ccnp_cch 29 14:20:14.238 07/27/06 Sev=Info/5 IKE/0x6300000D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 30 14:20:14.238 07/27/06 Sev=Info/5 IKE/0x6300000F SPLIT_NET #1 subnet = 10.0.1.0 mask = 255.255.255.0 protocol = 0 src port = 0 dest port=0 !−−− Sortie supprimée. Tester l'accès au LAN local avec Ping Un moyen supplémentaire de tester que le client VPN est configuré pour le split tun- neling lorsqu'un tunnel vers l'ASA existe, est d'utiliser la commande est d'utiliser la commande ping dans la ligne de commande Windows. Le LAN local du client VPN est 192.168.0.0/24 et un autre host est présent sur le réseau avec l'adresse IP 192.168.0.3. C:\>ping 192.168.0.3 Pinging 192.168.0.3 with 32 bytes of data: Reply from 192.168.0.3: bytes=32 time<1ms TTL=255 Ping statistics for 192.168.0.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli−seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms ccnp_cch