PIX ASA 7.x - Autoriser l'accès au LAN local pour les Clients VPN ccnp_cch

Sommaire • Introduction - Prérequis - Composants utilisés - Schéma du réseau - Produits liés • Rappel • Configurer l'accès au LAN local pour des clients VPN - Configuration de l'ASA via l'ASDM - Configuration de l'ASA via la CLI - Configuration du Client VPN • Vérification - Connexion avec le client VPN - Afficher les logs di Client VPN - Test de l'accès LAN local avec ping • Résolution de problèmes - Impossibilité d'utiliser un nom pour imprimer ou naviguer ccnp_cch

Introduction ccnp_cch Ce document fournit des instructions étape par étape sur comment autoriser des Clients VPN Cisco à accéder uniquement à leur LAN local pendant qu'ils utilisent un tunnel dans l'appliance de sécurité Cisco ASA 5500 ou PIX série 500. Cette configu- ration permet aux clients VPN d'avoir un accès sécurisé au réseau de l'entreprise via IPSec et donnent toujours la capacité d'avoir des activités telles que l'impression loca- le quelque soit l'emplacement du client. Si cela est permis, le trafic destiné à Internet passe également par le tunnel vers l'ASA ou le PIX. Note: Ce n'est pas une configuration de tunnel partagé dans laquelle le client a un accès Internet non crypté pendant qu'il est connecté à l'ASA ou au PIX. Prérequis Ce document suppose qu'une configuration VPN accès distant existe déjà sur l'ASA ou le PIX. Reférez-vous à "PIX ASA 7.x as a remote VPN server using ASDM Configuration Example" si celui-ci n'est pas configuré. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● Cisco ASA 5500 Series Security Appliance version 7.2 ● Cisco VPN Client version 4.0.5 Schéma du réseau 192.168.0.3 10.0.1.0/24 192.168.0.0/24 Internet 172.22.1.0/24 Produits liés Cette configuration peut être aussi utilisée avec des PIX Cisco série 500 version 7.x. ccnp_cch

Rappel Au contraire d'un scénario de partage de tunnel classique dans lequel tout le trafic In- ternet est transmis non crypté quand vous validez l'accès au LAN local pour des clients VPN celui-ci permet à ces clients de communiquer en non crypté avec des équipements sur le réseau sur lequel ils sont situés. Par exemple, un client VPN qui a accès au LAN local quand il est connecté à l'ASA est capable d'imprimer sur sa propre imprimante locale mais accède toujours à Internet en passant par le tunnel. Une liste d'accès est utilisée pour autoriser l'accès au LAN local quasiment de la même manière que pour la configuration du tunnel partagé sur l'ASA. Cependant, au lieu de définir quels réseaux doivent utiliser le cryptage, la liste d'accès dans ce cas définit quels sont les réseaux qui ne doivent pas utiliser le cryptage. Ainsi au contraire du scénario de partage de tunnel, les réseaux actuels dans la liste d'accès n'ont pas besoin d'être connus. A la place, l'ASA fournit un réseau par défaut 0.0.0.0/255.255.255.255 qui est compris comme le réseau LAN local du client VPN. Note: Quand le client VPN est connecté et configuré pour l'accès au LAN local, vous ne pouvez pas imprimer ou naviguer par nom sur le LAN local. Toutefois vous pouvez im- primer ou naviguer avec l'adresse IP. Configurer l'accès au LAN local pour les clients VPN Exécutez ces deux tâches pour autoriser les clients VPN à accéder à leur LAN local quand ils sont connectés au concentrateur VPN. ● Configurez l'ASA via l'ASDM (Adaptive Security Device Manager) ou configurez l'ASA via la CLI. ● Configurez le client VPN. ccnp_cch

Configurer l'ASA via l'ASDM Exécutez ces étapes dans l'ASDM pour permettre aux clients VPN d'avoir un accès au LAN local quand ils sont connectés à l'ASA. 1. Choisir Configuration> VPN> General> Group Policy et sélectionnez le Group Poli- cy que vous voulez valider pour l'entrée sur le LAN local. Ensuite cliquez sur Edit. ccnp_cch

2. Choisissez l'onglet Client Configuration. ccnp_cch

3. Décochez la boîte Inherit pour Split Tunneling Policy et choisissez Exclude Network List below. ccnp_cch

4. Décochez la boite Inherit pour Split Tunnel Network List et cliquez sur Manage pour lancer l'ACL Manager. ccnp_cch

5. Dans l'ACL Manager choisissez Add> Add ACL… pour créer une nouvelle liste d'accès. 6. Donnez un nom pour l'ACL puis cliquez sur Ok. ccnp_cch

7. Une fois que l'ACL est créee, choisissez Add> Add ACE… pour ajouter une Access Control Liste Entry (ACE). ccnp_cch

ccnp_cch 8. Définissez l'ACE qui correspond au LAN local du client. a. Choisissez permit b. Choisissez une adresse IP égale à 0.0.0.0 c. Choisissez un masque égal à 255.255.255.255 d. (Optionnel) Donnez une description e. Cliquez sur Ok 9. Cliquez sur Ok pour sortir de l'ACL Manager. ccnp_cch

10. Assurez-vous que l'ACL que vous venez de créer est sélectionnée pour Split Tunnel Network List. ccnp_cch

11. Cliquez sur Ok pour retourner à la configuration Group Policy. ccnp_cch

12. Cliquez sur Apply et ensuite Send (si requis) pour transmettre les commandes à l'ASA. Configurer l'ASA via la CLI Au lieu d'utiliser l'ASDM, vous pouvez exécuter ces étapes en utilisant la CLI pour permettre aux clients VPN d'avoir un accès au LAN local quand ils sont connectés à l'ASA. 1. Entrez en mode configuration ciscoasa>enable Password: ciscoasa#configure terminal ciscoasa(config)# 2. Créez une liste d'accès pour permettre l'accès au LAN local. ciscoasa(config)#access−list Local_LAN_Access remark VPN Client Local LAN Access ciscoasa(config)#access−list Local_LAN_Access standard permit host 0.0.0.0 ccnp_cch

3. Entrez en mode de configuration Group Policy pour la politique que vous voulez modifier. ciscoasa(config)#group−policy hillvalleyvpn attributes ciscoasa(config−group−policy)# 4. Spécifiez la politique de partage de tunnel. Dans ce cas la liste d'accès est excludespecified. ciscoasa(config−group−policy)#split−tunnel−policy excludespecified 5. Spécifiez la liste d'accès de partage de tunnel. Dans ce cas la liste d'accès est Local_LAN_Access. ciscoasa(config−group−policy)#split−tunnel−network−list value Local_LAN_Access 6. Sortir des deux modes de configuration. ciscoasa(config−group−policy)#exit ciscoasa(config)#exit ciscoasa# 7. Sauvegarder la configuration en NVRAM et pressez Entrer quand on vous demande de spécifier le nom de fichier source. ciscoasa#copy running−config startup−config Source filename [running−config]? Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a 3847 bytes copied in 3.470 secs (1282 bytes/sec) ccnp_cch

ccnp_cch Configurer le client VPN Exécutez ces étapes dans le Client VPN pour permettre au client d'avoir accès au LAN local quand il est connecté à l'ASA. 1. Choisissez votre entrée de connexion existante et cliquez sur Modify. 2. Allez sur l'onglet Transport et cochez Allow Local LAN Access. Cliquez sur Save quand cela est fait. ccnp_cch

Vérification ccnp_cch Suivre ces étapes dans ces sections pour vérifier votre configuration. ● Connectez vous avec le Client VPN ● Afficher les logs du Client VPN ● Testez l'accès LAN local avec Ping Se connecter avec le client VPN Connectez votre Client VPN au concentrateur VPN pour vérifier votre configuration. 1. Choisissez votre entrée de connexion et cliquez sur Connect. 2. Entrez vos coordonnées. ccnp_cch

3. Choisissez Status> Statistics pour afficher la fenêtre Tunnel Details sur laquelle vous pouvez vérifier les particularités du tunnel et voir le flux de trafic. Vous pouvez également voir que le LAN local est validé dans la section Transport. 4. Allez sur l'onglet Route Details pour voir si les routes auxquelles le Client VPN a toujours l'accès au LAN local. Dans cet exemple, le Client VPN a le droit d'accéder au LAN local 192.168.0.0/24 tandis que le reste du trafic est crypté et transmis sur le tunnel. ccnp_cch

Afficher les logs du Client VPN Quand vous examinez les logs du client VPN, vous pouvez déterminer si le paramètre qui autorise l'accès au LAN local est configuré. Pour voir les logs, allez sur le panneau Log dans le Client VPN. Ensuite cliquez sur Log Settings pour valider ce qui doit être loggé. Dans cet exemple, IKE est fixé à 3-High tandis que les autre éléments de log sont fixés à 1- Low. Cisco Systems VPN Client Version 4.0.5 (Rel) Copyright (C) 1998−2003 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Windows, WinNT Running on: 5.1.2600 Service Pack 2 1 14:20:09.532 07/27/06 Sev=Info/6 IKE/0x6300003B Attempting to establish a connection with 172.22.1.160. !−−− Partie supprimée. 18 14:20:14.188 07/27/06 Sev=Info/5 IKE/0x6300005D Client sending a firewall request to concentrator 19 14:20:14.188 07/27/06 Sev=Info/5 IKE/0x6300005C Firewall Policy: Product=Cisco Systems Integrated Client, Capability= (Centralized Protection Policy). 20 14:20:14.188 07/27/06 Sev=Info/5 IKE/0x6300005C Firewall Policy: Product=Cisco Intrusion Prevention Security Agent, Capability= (Are you There?). 21 14:20:14.208 07/27/06 Sev=Info/4 IKE/0x63000013 SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160 ccnp_cch

ccnp_cch 22 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x6300002F Received ISAKMP packet: peer = 172.22.1.160 23 14:20:14.208 07/27/06 Sev=Info/4 IKE/0x63000014 RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160 24 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x63000010 MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50 25 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x63000010 MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0 26 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x6300000D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000 27 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x6300000D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000 28 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x6300000E MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems, Inc ASA5510 Version 7.2(1) built by root on Wed 31−May−06 14:45 !−−− L'accès LAN local est permis et le LAN local est défini. 29 14:20:14.238 07/27/06 Sev=Info/5 IKE/0x6300000D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets), value = 0x00000001 30 14:20:14.238 07/27/06 Sev=Info/5 IKE/0x6300000F LOCAL_NET #1 subnet = 192.168.0.0 mask = 255.255.255.0 protocol = 0 src port = 0 dest port=0 !−−− Partie supprimée. ccnp_cch

Tester l'accès au LAN local ave Ping Un moyen supplémentaire de tester que le client VPN a toujours accès au LAN local tandis qu'un tunnel IPSec est ouvert vers le concentrateur VPN est d'utiliser la com- mande ping dans la ligne de commande Windows. Le LAN local du client VPN est 192.168.0.0/24 et un autre host est présent sur le réseau avec l'adresse IP 192.168.0.3. C:\>ping 192.168.0.3 Pinging 192.168.0.3 with 32 bytes of data: Reply from 192.168.0.3: bytes=32 time<1ms TTL=255 Ping statistics for 192.168.0.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli−seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms Résolution de problèmes Impossibilité d'imprimer ou de naviguer par Nom Quand le client VPN est connecté et configuré pour avoir un accès au LAN local, vous ne pouvez pas imprimer ou naviguer en utilisant un nom sur le LAN local. Il y a deux options disponibles pour contourner ce problème. ● Naviguer ou imprimer avec l'adresse IP. - Pour naviguer, au lieu d'utiliser la syntaxe \\sharename, utilisez la syntaxes \\x.x.x.x où x.x.x.x est l'adresse IP du host. - Pour imprimer, changer les propriétés de l'imprimante réseau pour utiliser une adresse IP à la place du nom. Par exemple au lieu de la syntaxe \\sharename\ printername, utilisez \\x.x.x.x où x.x.x.x est une adresse IP. ● Créer ou modifier le fichier LMHOSTS du Client VPN. Un fichier LMHOSTS sur un PC Windows vous permet de créer des correspondances statiques entre les noms et les adresses IP. Par exemple un fichier LMHOSTS peut ressembler à cela: 192.168.0.3 SERVER1 192.168.0.4 SERVER2 192.168.0.5 SERVER3 Dans Windows XP Professionnel, le fichier LMHOSTS est situé dans %System Root% \System32\Drivers\... ccnp_cch