Client VPN pour VPN public Internet PIX ASA 7.x - Client VPN pour VPN public Internet "on a Stick" ccnp_cch
Sommaire • Configuration • Vérification • Introduction - Prérequis - Composants utilisés • Configuration - Schéma du réseau - Configurations • Vérification - Vérification du client VPN ccnp_cch
PC avec Client VPN Cisco Introduction Ce document décrit comment configurer un PIX 7.0.1 et suivants pour réaliser un tunnel VPN IPSec "on a Stick". Cette configuration s'applique dans le cas particulier ou le PIX n'autorise pas le partage de tunnel et où les utilisateurs se connectent direc- tement au PIX avant d'avoir l'autorisation d'accès à Internet. Note : Dans le PIX version 7.2 et suivants, le mot-clé intra-interface autorise le trafic à entrer et sortir par la même interface sans traverser le PIX et pas uniquement pour du trafic IPSec. Prérequis Assurez-vous que les prérequis suivants soient satisfaits avant de tenter cette confi- guration: ● L'appliance de sécurité PIX centrale doit opérer avec la version 7.0.1 ou suivantes ● Cisco Client VPN version 4.x Composants utilisées Les informations contenues dans ce document sont basées l'appliance de sécurité PIX ou ASA version 7.0.1. Configuration Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités présentées dans ce document. Schéma du réseau PC avec Client VPN Cisco Tunnel Client-PIX Trafic Internet PIX1 Internet ccnp_cch
Configurations ccnp_cch PIX/ASA PIX Version 7.0(1) names ! interface Ethernet0 nameif outside security−level 0 ip address 172.18.124.98 255.255.255.0 interface Ethernet1 nameif inside security−level 100 ip address 10.10.10.1 255.255.255.0 interface Ethernet2 shutdown no nameif no security−level no ip address interface Ethernet3 interface Ethernet4 interface Ethernet5 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname W2N−5.6−PIX515−A ftp mode passive ccnp_cch
!−−− Commande qui permet le trafic IPSec à entrer et à sortir par !--- la même interface. same−security−traffic permit intra−interface access−list 100 extended permit icmp any any echo−reply pager lines 24 logging enable logging buffered debugging mtu outside 1500 mtu inside 1500 !−−− Pool d'adresses pour les Clients VPN. ip local pool vpnpool 192.168.10.1−192.168.10.254 no failover monitor−interface outside monitor−interface inside icmp permit any outside no asdm history enable arp timeout 14400 nat−control !−−− Adresse globale pour l'accès Internet utilisée par les !--- VPN Clients.Utilisez un espace d'adresses publiques !−−− fournies par votre FAI. global (outside) 1 172.18.124.166 nat (outside) 1 192.168.10.0 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) 10.10.10.2 10.10.10.2 netmask 255.255.255.255 access−group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.18.124.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute !−−− Configuration de la group−policy pour les Clients VPN. group−policy clientgroup internal group−policy clientgroup attributes vpn−idle−timeout 20 !−−− Force les Clients VPN à passer par le tunnel pour l'accès !--- Internet. split−tunnel−policy tunnelall no snmp−server location no snmp−server contact snmp−server enable traps snmp !−−− Configuration de IPsec Phase 2. crypto ipsec transform−set myset esp−3des esp−sha−hmac !−−− Configuration de la Crypto map pour les Clients VPN qui !--- se connectent au PIX. crypto dynamic−map rtpdynmap 20 set transform−set myset ccnp_cch
ccnp_cch !−−− Crypto map appliquée à l' interface outside. crypto map mymap interface outside !−−− valide ISAKMP sur l'interface outside. isakmp identity address isakmp enable outside !−−− Configuration de la politique ISAKMP. isakmp policy 10 authentication pre−share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 65535 authentication pre−share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 !−−− Configuration du tunnel−group avec l'information de groupe !--- pour les Clients VPN. tunnel−group rtptacvpn type ipsec−ra !−−− Configuration des paramètres de groupe pour les Clients VPN. tunnel−group rtptacvpn general−attributes address−pool vpnpool !−−− Dévalide l'authentification de l'utilisateur. authentication−server−group none authorization−server−group LOCAL !−−− Lie les paramètres de la group−policy parameters au !--- tunnel−group pour les Clients VPN. default−group−policy clientgroup tunnel−group rtptacvpn ipsec−attributes pre−shared−key * ! class−map inspection_default match default−inspection−traffic policy−map global_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc ccnp_cch
ccnp_cch inspect tftp inspect sip inspect xdmcp ! service−policy global_policy global Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0 end: Note 1: La commande sysopt connection permit-ipsec doit être configurée. La com- mande show running-config sysopt permet de voir si celle-ci est configurée. Note 2: Ajoutez cette sortie pour le transport optionnel par UDP : group−policy clientgroup attributes vpn−idle−timeout 20 ipsec−udp enable ipsec−udp−port 10000 split−tunnel−policy tunnelspecified split−tunnel−network−list value splittunnel Note 3: Configurez cette commande en mode de configuration global sur le PIX pour que les clients VPN se connectent via IPSec sur TCP. isakmp ipsec−over−tcp port 10000 Client VPN Exécutez ces étapes pour configurer le client VPN. 1. Choisissez Connection Entries> New. ccnp_cch
ccnp_cch 2. Entrez les informations du PIX et du groupe. 3. (Optionnel) Cliquez sur Enable Transport Tunneling dans le panneau Transport. (Ceci est optionnel et requiert la configuration additionnelle mentionnée en note 2). 4. Sauvegardez le profil. ccnp_cch
Vérification ccnp_cch Utilisez cette section pour confirmer que votre configuration fonctionne correctement. ● show crypto isakmp sa - Affiche toutes les associations de sécurité ISAKMP en cours. ● show crypto ipsec sa- Affiches toutes les associations de sécurité IPSec en cours. Affiche le nombre de paquets cryptés et décryptés pour les SAs qui définissent le trafic du client VPN. Essayez de "pinguer" ou de naviguer vers une adresse publique de puis le client (www.cisco.com, par exemple). Note : L'interface interne du PIX ne peut pas être "pinguée" pour la formation d'un tunnel sauf si la commande management-access est configurée en mode de configu- ration global. PIX1(config)#management−access inside PIX1(config)#show management−access management−access inside Vérification du client VPN Exécutez ces étapes pour vérifier le client VPN. 1. Click droit sur l'icône Client VPN dans la barre des tâches après une connexion réussie puis choisissez l'option statistics pour voir les paquets cryptés et décryptés. 2. Cliquez sur le panneau Route Details pour vérifier qu'aucune liste tunnel partagé est obtenue de l'appliance. ccnp_cch