Client VPN pour VPN public Internet

Slides:



Advertisements
Présentations similaires
Client VPN SSL avec ASDM
Advertisements

Sécurité - Configuration du PIX avec un seul réseau interne
Sécurité - ASA - Configuration VPN SSL sans client avec ASDM
Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - Quiz ccnp_cch.
Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un
QoS - Propagation de la Politique de QoS via BGP
Configuration du PIX/ASA Authentification étendue
Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec
PIX/ASA 7.x - Configuration Relais DHCP
Sécurité - ASA7.x/PIX 6.x et plus
Tunnel pour paquets IP Multicast
Surveillance des réponses DNS avec la commande
Configuration d'un accès
Configuration de Syslog
PIX ASA 7.x - Surveillance DNS avec la commande static et
CBAC - Introduction et Configuration
Comprendre la politique
Sécurité - Configuration de
PIX/ASA - Configuration Serveur et Client DHCP
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
Configuration Routeur SOHO77
Configuration Tunnel VPN
show ip nat translations
PIX ASA 7.x - Autoriser l'accès au LAN local pour les Clients VPN
Sécurité - ASA/PIX 8.x - Bloquer des sites Web (URLs) en utilisant les expressions régulières et Modular Policy Framework ccnp_cch.
BGP - Support de Route-Map Policy list
Sous-résaux LAN dupliqués
NAT - Supervision et Maintenance
PIX - Gestion du trafic VoIP
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
SSH sur l'interface interne
- Comment changer le titre WebVPN
sur l'interface interne
- Mapping de Clients VPN
Configuration NAT Utilisation de la commande outside source list
Configuration de Voice VLAN
Configuration de Liaisons Redondantes ou Opérateur de Secours
Sécurité - Configuration de
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
Configuration IPSec LAN Privé à LAN Privé et NAT statique
trois réseaux internes
PIX ASA 7.x - Configuration de Contextes multiples
Valider les services VoIP (SIP, H323, MGCP,SCCP)
Sécurité - Configuration d'un
Configuration d'un accès
Authentification Radius
entre trois routeurs utilisant des
- Restreindre l'accès réseau des utilisateurs VPN distants avec l'ASDM
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration de groupes l'autorisation via ASDM
Configuration IPSec Routeur vers PIX avec access-list et nat 0
trois réseaux internes
QoS - Configuration Fragmentation
Configuration Routeur SOHO77
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
QoS - Configuration de COPS pour RSVP
Configuration de VLANs Contrôleur LAN sans-fil
Transcription de la présentation:

Client VPN pour VPN public Internet PIX ASA 7.x - Client VPN pour VPN public Internet "on a Stick" ccnp_cch

Sommaire • Configuration • Vérification • Introduction - Prérequis - Composants utilisés • Configuration - Schéma du réseau - Configurations • Vérification - Vérification du client VPN ccnp_cch

PC avec Client VPN Cisco Introduction Ce document décrit comment configurer un PIX 7.0.1 et suivants pour réaliser un tunnel VPN IPSec "on a Stick". Cette configuration s'applique dans le cas particulier ou le PIX n'autorise pas le partage de tunnel et où les utilisateurs se connectent direc- tement au PIX avant d'avoir l'autorisation d'accès à Internet. Note : Dans le PIX version 7.2 et suivants, le mot-clé intra-interface autorise le trafic à entrer et sortir par la même interface sans traverser le PIX et pas uniquement pour du trafic IPSec. Prérequis Assurez-vous que les prérequis suivants soient satisfaits avant de tenter cette confi- guration: ● L'appliance de sécurité PIX centrale doit opérer avec la version 7.0.1 ou suivantes ● Cisco Client VPN version 4.x Composants utilisées Les informations contenues dans ce document sont basées l'appliance de sécurité PIX ou ASA version 7.0.1. Configuration Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités présentées dans ce document. Schéma du réseau PC avec Client VPN Cisco Tunnel Client-PIX Trafic Internet PIX1 Internet ccnp_cch

Configurations ccnp_cch PIX/ASA PIX Version 7.0(1) names ! interface Ethernet0 nameif outside security−level 0 ip address 172.18.124.98 255.255.255.0 interface Ethernet1 nameif inside security−level 100 ip address 10.10.10.1 255.255.255.0 interface Ethernet2 shutdown no nameif no security−level no ip address interface Ethernet3 interface Ethernet4 interface Ethernet5 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname W2N−5.6−PIX515−A ftp mode passive ccnp_cch

!−−− Commande qui permet le trafic IPSec à entrer et à sortir par !--- la même interface. same−security−traffic permit intra−interface access−list 100 extended permit icmp any any echo−reply pager lines 24 logging enable logging buffered debugging mtu outside 1500 mtu inside 1500 !−−− Pool d'adresses pour les Clients VPN. ip local pool vpnpool 192.168.10.1−192.168.10.254 no failover monitor−interface outside monitor−interface inside icmp permit any outside no asdm history enable arp timeout 14400 nat−control !−−− Adresse globale pour l'accès Internet utilisée par les !--- VPN Clients.Utilisez un espace d'adresses publiques !−−− fournies par votre FAI. global (outside) 1 172.18.124.166 nat (outside) 1 192.168.10.0 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) 10.10.10.2 10.10.10.2 netmask 255.255.255.255 access−group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.18.124.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute !−−− Configuration de la group−policy pour les Clients VPN. group−policy clientgroup internal group−policy clientgroup attributes vpn−idle−timeout 20 !−−− Force les Clients VPN à passer par le tunnel pour l'accès !--- Internet. split−tunnel−policy tunnelall no snmp−server location no snmp−server contact snmp−server enable traps snmp !−−− Configuration de IPsec Phase 2. crypto ipsec transform−set myset esp−3des esp−sha−hmac !−−− Configuration de la Crypto map pour les Clients VPN qui !--- se connectent au PIX. crypto dynamic−map rtpdynmap 20 set transform−set myset ccnp_cch

ccnp_cch !−−− Crypto map appliquée à l' interface outside. crypto map mymap interface outside !−−− valide ISAKMP sur l'interface outside. isakmp identity address isakmp enable outside !−−− Configuration de la politique ISAKMP. isakmp policy 10 authentication pre−share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 65535 authentication pre−share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 !−−− Configuration du tunnel−group avec l'information de groupe !--- pour les Clients VPN. tunnel−group rtptacvpn type ipsec−ra !−−− Configuration des paramètres de groupe pour les Clients VPN. tunnel−group rtptacvpn general−attributes address−pool vpnpool !−−− Dévalide l'authentification de l'utilisateur. authentication−server−group none authorization−server−group LOCAL !−−− Lie les paramètres de la group−policy parameters au !--- tunnel−group pour les Clients VPN. default−group−policy clientgroup tunnel−group rtptacvpn ipsec−attributes pre−shared−key * ! class−map inspection_default match default−inspection−traffic policy−map global_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc ccnp_cch

ccnp_cch inspect tftp inspect sip inspect xdmcp ! service−policy global_policy global Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0 end: Note 1: La commande sysopt connection permit-ipsec doit être configurée. La com- mande show running-config sysopt permet de voir si celle-ci est configurée. Note 2: Ajoutez cette sortie pour le transport optionnel par UDP : group−policy clientgroup attributes vpn−idle−timeout 20 ipsec−udp enable ipsec−udp−port 10000 split−tunnel−policy tunnelspecified split−tunnel−network−list value splittunnel Note 3: Configurez cette commande en mode de configuration global sur le PIX pour que les clients VPN se connectent via IPSec sur TCP. isakmp ipsec−over−tcp port 10000 Client VPN Exécutez ces étapes pour configurer le client VPN. 1. Choisissez Connection Entries> New. ccnp_cch

ccnp_cch 2. Entrez les informations du PIX et du groupe. 3. (Optionnel) Cliquez sur Enable Transport Tunneling dans le panneau Transport. (Ceci est optionnel et requiert la configuration additionnelle mentionnée en note 2). 4. Sauvegardez le profil. ccnp_cch

Vérification ccnp_cch Utilisez cette section pour confirmer que votre configuration fonctionne correctement. ● show crypto isakmp sa - Affiche toutes les associations de sécurité ISAKMP en cours. ● show crypto ipsec sa- Affiches toutes les associations de sécurité IPSec en cours. Affiche le nombre de paquets cryptés et décryptés pour les SAs qui définissent le trafic du client VPN. Essayez de "pinguer" ou de naviguer vers une adresse publique de puis le client (www.cisco.com, par exemple). Note : L'interface interne du PIX ne peut pas être "pinguée" pour la formation d'un tunnel sauf si la commande management-access est configurée en mode de configu- ration global. PIX1(config)#management−access inside PIX1(config)#show management−access management−access inside Vérification du client VPN Exécutez ces étapes pour vérifier le client VPN. 1. Click droit sur l'icône Client VPN dans la barre des tâches après une connexion réussie puis choisissez l'option statistics pour voir les paquets cryptés et décryptés. 2. Cliquez sur le panneau Route Details pour vérifier qu'aucune liste tunnel partagé est obtenue de l'appliance. ccnp_cch