Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch

Sommaire  Introduction - Prérequis - Composants utilisés - Produits liés  Configuration - Schéma du réseau - Configurer l'accès VPN distant (IPSec) - Configurer l'ASA/PIX avec la CLI - Configuration du client VPN IPsec  Vérification - Commandes show  Résolution de problèmes - Effacer les associations de sécurité - Commandes pour résolution de problèmes ccnp_cch

Introduction Ce document décrit comment configurer l'appliance de sécurité adaptive Cisco ASA 5500 pour fournir l'adresse IP statique au client VPN avec l'ASDM (Adaptive Security Device Manager) ou la CLI. L'ASDM délivre une sécurité d'administration totale et une supervision au travers d'une interface d'administration basée web intuitive et facile à utiliser. Une fois que la configuration de Cisco ASA est terminée, elle peut être vérifiée avec le client VPN Cisco. Référez-vous à "PIX/ASA 7.x and VPN client 4.x with Windows 2003 IAS RADIUS (against Active Directory) Authentication Configuration example" pour établir des con- nexions d'accès VPN distant entre un client VPN Cisco (4.x pour Windows) et un PIX 500 Series Security Appliance 7.x. L'utilisateur client VPN distant s'authentifie avec Active Directory avec un serveur Microsoft Windows 2003 Internet Authentication Service (IAS) RADIUS. Référez-vous à "PIX/ASA 7.x and VPN client 4.x for Cisco ACS Authentication Confi- guration Example" pour établir des connexions d'accès VPN distant entre un client VPN Cisco (4.x pour Windows) et un PIX 500 Series Security Appliance 7.x avec Cisco Secure Access Control Server (ACS version 3.2) for extended authentication". Prérequis Ce document présume que l'ASA est totalement opérationnel et configuré pour per- mettre à l'ASDM Cisco de faire les modifications de configuration. Note: Référez-vous à "Allowing HTTPS access for ASDM or PIX/ASA 7.x: SSH on In- side and Outside Interface Configuration" pour permettre à l'équipement d'être confi- guré à distance par l'ASDM ou SSH (Secure Shell). Components Utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes:  Cisco 5500 Adaptive Security Appliance (ASA) qui opère avec un logiciel version 7.x ou suivantes.  Cisco Adaptive Security Manager (ASDM) version 5.x ou suivantes.  Client VPN Cisco version 4.x ou suivantes Produits liés Cette configuration peut être aussi utilisée avec l'appliance de sécurité PIX Cisco qui opère avec une version 7.x ou suivantes. ccnp_cch

Configuration ccnp_cch Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du réseau 192.168.1.1 Outside Internet 10.1.1.0/24 Inside Réseau interne ASA Client VPN 192.168.5.1 Note: Les systèmes d'adressage IP utilisés dans cette configuration ne sont pas routa- bles dans Internet. Ce sont des adresses définies par le RFC 1918 qui sont utilisées dans un environnement de laboratoire. Configurer l'accès VPN distant (IPSec) Procédure ASDM Exécutez ces étapes pour configurer l'accès VPN distant. 1. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Policies > Add pour créer une stratégie ISAKMP. ccnp_cch

ccnp_cch 2. Fournir les détails de la stratégie ISAKMP. Cliquez sur OK puis sur Apply. 3. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Parameters pour valider IKE sur l'interface Outside. ccnp_cch

4. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IPSec Transform Sets > Add pour créer le transform set ESP−DES−SHA. Cliquez sur OK puis sur Apply. 5. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > Crypto Maps > Add pour créer une crypto map avec une stratégie dynamique de priorité 1. Cliquez sur OK puis sur Apply. ccnp_cch

6. Choisissez Configuration > Remote Access VPN > AAA Setup > Local Users > Add pour créer un compte utilisateur (par exemple username - cisco123 et Pass- word - cisco123) pour l'accès client VPN. Cliquez sur OK puis sur Apply. ccnp_cch

7. Allez à VPN Policy et ajoutez Static/Dedicated IP Address pour l'utilisateur "cisco123" comme suit. 8. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools et cliquez sur Add pour ajouter le client VPN pour les utilisateurs Client VPN. ccnp_cch

9. Choisissez Configuration > Remote Access VPN > Network (Client) Access > IPSec Connection Profiles > Add pour ajouter un groupe tunnel (par exemple, TunnelGroup1 et cisco123 comme clé pré-partagée). ▪ Sous l'onglet Basic, choisissez les groupes serveur LOCAL dans le champ User Authentication. ▪ Choisissez vpnclient1 dans le champ Client Address Pool pour les utilisateurs Client VPN. Cliquez sur OK. ccnp_cch

10. Choisissez Advanced > Client Addressing et cochez la case Use address pool pour affecter l'adresse IP aux clients VPN. Note: Assurez-vous d'avoir décoché les cases pour Use authentication server et Use DHCP. Cliquez sur OK. ccnp_cch

Configuration courante sur l'ASA 11. Validez l'interface Outside pour l'accès IPSec. Cliquez sur Apply pour terminer. Configurer l'ASA/PIX avec la CLI Exécutez ces étapes pour configurer le serveur DHCP pour fournir les adresses IP aux clients VPN à partir de l'interface ligne de commande. Configuration courante sur l'ASA ASA# sh run ASA Version 8.0(2) ! !−−− Spécifie le nom de host pour l'Appliance de Sécurité. hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted names !−−− Configure les interfaces outside et inside. interface Ethernet0/0 nameif inside security−level 100 ip address 10.1.1.1 255.255.255.0 interface Ethernet0/1 nameif outside security−level 0 ip address 192.168.1.1 255.255.255.0 ccnp_cch

ccnp_cch interface Ethernet0/2 nameif DMZ security−level 50 ip address 192.168.10.2 255.255.255.0 !−−− Output is suppressed. passwd 2KFQnbNIdI.2KYOU encrypted boot system disk0:/asa802−k8.bin ftp mode passive access−list 101 extended permit ip 10.1.1.0 255.255.255.0 192.168.5.0 255.255.255.0 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 mtu dmz 1500 ip local pool vpnclient1 192.168.5.10−192.168.5.100 mask 255.255.255.0 no failover icmp unreachable rate−limit 1 burst−size 1 !−−− Spécifie l'emplacement de l'image ASDM pour l'ASA pour trouver !--- l'image pour l'accès ASDM. asdm image disk0:/asdm−613.bin no asdm history enable arp timeout 14400 global (outside) 1 192.168.1.5 nat (inside) 0 access−list 101 nat (inside) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 192.168.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic−access−policy−record DfltAccessPolicy http server enable http 0.0.0.0 0.0.0.0 inside no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform−set ESP−DES−SHA esp−des esp−sha−hmac crypto dynamic−map outside_dyn_map 1 set transform−set ESP−DES−SHA crypto map outside_map 1 ipsec−isakmp dynamic outside_dyn_map ccnp_cch

!−−− Spécifie l'interface à utiliser avec les paramètres définis !−−− dans cette configuration. crypto map outside_map interface outside !−−− PHASE 1 CONFIGURATION −−−! !−−− Cette configuration utilise ISAKMP policy 2. !−−− Les commandes de configuration ici définissent les paramètres !--- de stratégie Phase 1 qui sont utilisés. crypto isakmp enable outside crypto isakmp policy 2 authentication pre−share encryption des hash sha group 2 lifetime 86400 no crypto isakmp nat−traversal !−−− Spécifie que l'adresse IP aux clients VPN sont affectés en !--- local et non par AAA ou DHCP. La commande CLI vpn−addr−assign local !--- pour les affectations d'adresses VPN par l'ASA est cachée dans la !--- sortie de la commande show run. no vpn−addr−assign aaa no vpn−addr−assign dhcp telnet timeout 5 ssh timeout 5 console timeout 0 threat−detection basic−threat threat−detection statistics access−list ! class−map inspection_default match default−inspection−traffic policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ccnp_cch

ccnp_cch Configuration du client VPN Cisco service−policy global_policy global ! group−policy DfltGrpPolicy attributes vpn−tunnel−protocol IPSec webvpn group−policy GroupPolicy1 internal !−−− Pour identifier les utilisateurs distants avec Appliance de !--- Sécurité, vous pouvez également configurer des noms d'utilisateurs !--- et des mots de passe sur l'équipement. Spécifiez l'adresse IP !--- à affecter à un utilisateur particulier en utilisant la commande !−−− vpn−framed−ip−address en mode username. username cisco123 password ffIRPGpDSOJh9YLq encrypted username cisco123 attributes vpn−framed−ip−address 192.168.5.1 255.255.255.0 !−−− Crée un nouveau groupe tunnel et fixe le type de connexion à !−−− "remote−access". tunnel−group TunnelGroup1 type remote−access tunnel−group TunnelGroup1 general−attributes address−pool vpnclient1 !−−− Entre la clé pré-partagée pour configurer la méthode !--- d'authentification. tunnel−group TunnelGroup1 ipsec−attributes pre−shared−key * prompt hostname context Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d : end ASA# Configuration du client VPN Cisco Tentez de vous connecter à l'ASA Cisco avec le client VPN pour vérifier que l'ASA est configuré avec succès. 1. Choisissez Start > Programs > Cisco Systems VPN Client > VPN Client. 2. Cliquez sur New pour ouvrir la fenêtre Create New VPN Connection Entry. ccnp_cch

ccnp_cch 3. Entrez les détails de votre nouvelle connexion. Entrez le nom pour Connection Entry avec une description. Entre l'adresse IP ex- terne de l'ASA dans le champ Host. Ensuite entrez le nom du groupe tunnel VPN dans le champ Name (TunnelGroup1) et le mot de passe dans le champ Password (clé pré-partagée - cisco123) comme cela est configuré sur l'ASA. Cliquez sur Save. 4. Cliquez sur la connexion que vous voulez utiliser puis cliquez sur Connect dans la fenêtre principale du client VPN. ccnp_cch

5. Quand cela est demandé, entrez cisco123 dans le champ Username et cisco123 dans le champ Password comme cela a été configuré sur l'ASA pour Xauth puis cliquez sur OK pour vous connecter au réseau distant. 6. Le client VPN est connecté avec l'ASA au site central. ccnp_cch

Résolution de problèmes 7. Une fois que la connexion est établie avec succès, choisissez Statistics à partir du menu Status pour vérifier l'état du tunnel. Vérification Commandes show Utilisez cette section pour vérifier que votre configuration fonctionne correctement.  show crypto isakmp sa - Affiche les associations de sécurité (SA) IKE courantes à une extrémité.  show crypto ipsec sa - Affiche les paramètres des SAs courantes. Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes de configuration. Effacer les associations de sécurité Quand vous voulez résoudre des problèmes, assurez-vous d'effacer les Associations de Sécurité après que vous ayez fait une modification. Utilisez ces commandes en mode EXEC privilégié.  clear [crypto] ipsec sa - Efface les SAs IPSec actives. Le mot clé crypto is optionnel.  clear [crypto] isakmp sa - Efface les SAs IKE actives. Le mot clé crypto is optionnel. Commandes pour résolution de problèmes  debug crypto ipsec 7 - Affiche les négociations IPSec Phase 2.  debug crypto isakmp 7 - Affiche les négociations ISAKMP Phase 1. ccnp_cch