Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
le Split Tunneling pour les clients VPN
PIX/ASA 7.x - Autoriser le Split Tunneling pour les clients VPN sur l'ASA ccnp_cch
2
Sommaire • Rappel • Configurer le Split Tunneling sur l'ASA
• Introduction - Prérequis - Composants utilisés - Schéma du réseau - Produits liés • Rappel • Configurer le Split Tunneling sur l'ASA - Configuration de l'ASA via l'ASDM - Configuration de l'ASA via la CLI • Vérification - Connexion avec le client VPN - Afficher les logs du Client VPN - Test de l'accès LAN local avec ping ccnp_cch
3
Introduction ccnp_cch
Ce document fournit les instructions pas à pas sur comment autoriser l'accès aux clients VPN à Internet quand ils sont tunnelisés via l'ASA (Adaptive Security Appliance) Cisco série Cette configuration permet un accès sécurisé pour les clients VPN aux ressources de l'entreprise via IPSec tout en donnant un accès non sécurisé à Inter- net. Note: Le Split Tunneling peut poser des risques de sécurité quand il est configuré. Comme les clients VPN ont un accès non sécurisé à Internet, ils peuvent être corrom- pus par des attaques. L'attaquant pourrait être capable d'accéder au réseau LAN de l'entreprise via le tunnel IPSec. Un compromis entre full tunneling et split tunneling peut être d'autoriser les clients VPN à accéder uniquement au réseau LAN local. Réfé- rez-vous au document "PIX/ASA 7.x Autoriser l'accès LAN local aux clients VPN". Prérequis Ce document suppose qu'une configuration VPN accès distant existe déjà sur l'ASA. le PIX. Reférez-vous à "PIX ASA 7.x as a remote VPN server using ASDM Configuration Example" si celui-ci n'est pas configuré. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● Cisco ASA 5500 Series Security Appliance version 7.2 ● Cisco VPN Client version 4.0.5 Schéma du réseau /24 .1 /24 Internet .177 .106 /24 Client VPN ccnp_cch
4
Rappel ccnp_cch Produits liés
Cette configuration peut être aussi utilisée avec des PIX Cisco série 500 version 7.x. Rappel Dans un scénario de base VPN client vers l'ASA, tout trafic issu du client VPN est cryp- té et transmis vers l'ASA quelque soit la destination. Basé sur votre configuration et le nombre d'utilisateurs supportés, une telle configuration peut devenir consommatrice de bande passante. Le Split Tunneling peut aider à résoudre ce problème car il permet de transmettre uniquement le trafic qui est destiné au réseau d'entreprise à travers le tunnel. Tout autre trafic tel la messagerie instantanée, l' ou l'exploration de fi- chiers est transmis vers Internet via le réseau local du client VPN. Configurer le Split tunneling sur l'ASA Configurer l'ASA avec l'ASDM (Adaptive Security Device Manager) Exécutez ces étapes pour configurer votre groupe tunnel pour permettre le Split Tun- neling pour les utilisateurs dans le groupe Choisissez Configuration> VPN> General> Group Policy et sélectionnez la politi que de groupe pour laquelle vous voulez valider l'accès au LAN local. Cliquez ensui te sur Edit. ccnp_cch
5
2. Allez sur l'onglet Client Configuration.
ccnp_cch
6
3. Décochez la boîte Inherit pour Split Tunneling Policy et choisissez Exclude
Network List below. ccnp_cch
7
4. Décochez la boite Inherit pour Split Tunnel Network List et cliquez sur Manage pour lancer l'ACL Manager. ccnp_cch
8
5. Dans l'ACL Manager choisissez Add> Add ACL… pour créer une nouvelle liste
d'accès. 6. Donnez un nom pour l'ACL puis cliquez sur Ok. ccnp_cch
9
7. Une fois que l'ACL est créee, choisissez Add> Add ACE… pour ajouter une Access Control Liste Entry (ACE). ccnp_cch
10
ccnp_cch 8. Définissez l'ACE qui correspond au LAN local du client.
a. Choisissez permit b. Choisissez une adresse IP égale à c. Choisissez un masque égal à d. (Optionnel) Donnez une description e. Cliquez sur Ok ccnp_cch
11
ccnp_cch 9. Cliquez sur Ok pour sortir de l'ACL Manager.
10. Assurez-vous que l'ACL que vous venez de créer est sélectionnée pour Split Tunnel Network List. ccnp_cch
12
11. Cliquez sur Ok pour retourner à la configuration Group Policy.
ccnp_cch
13
12. Cliquez sur Apply et ensuite Send (si requis) pour transmettre les commandes à l'ASA.
Configurer l'ASA via la CLI Au lieu d'utiliser l'ASDM, vous pouvez exécuter ces étapes en utilisant la CLI pour autoriser le Split Tunneling sur l'ASA Entrez en mode configuration ciscoasa>enable Password: ********* ciscoasa#configure terminal ciscoasa(config)# 2. Créez une liste d'accès qui définit le réseau derrière l'ASA. ciscoasa(config)#access−list Split_Tunnel_List remark The corporate network behind the ASA ciscoasa(config)#access−list Split_Tunnel_List standard permit ccnp_cch
14
Vérification ccnp_cch
3. Entrez en mode de configuration Group Policy pour la politique que vous voulez modifier. ciscoasa(config)#group−policy hillvalleyvpn attributes ciscoasa(config−group−policy)# 4. Spécifiez la politique de partage de tunnel. Dans ce cas la liste d'accès est tunnelspecified. ciscoasa(config−group−policy)#split−tunnel−policy tunnelspecified 5. Spécifiez la liste d'accès split tunnel. Dans ce cas la liste d'accès est Split_Tunnel_List ciscoasa(config−group−policy)#split−tunnel−network−list value Split_Tunnel_List 6. Sortir des deux modes de configuration. ciscoasa(config−group−policy)#exit ciscoasa(config)#exit ciscoasa# 7. Sauvegarder la configuration en NVRAM et pressez Entrer quand on vous demande de spécifier le nom de fichier source. ciscoasa#copy running−config startup−config Source filename [running−config]? Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a 3847 bytes copied in secs (1282 bytes/sec) Vérification Suivre ces étapes dans ces sections pour vérifier votre configuration. ● Connectez vous avec le Client VPN ● Afficher les logs du Client VPN ● Testez l'accès LAN local avec Ping Se connecter avec le client VPN Connectez votre Client VPN au concentrateur VPN pour vérifier votre configuration Choisissez votre entrée de connexion et cliquez sur Connect. ccnp_cch
15
ccnp_cch 2. Entrez vos coordonnées.
3. Choisissez Status> Statistics pour afficher la fenêtre Tunnel Details sur laquelle vous pouvez vérifier les particularités du tunnel et voir le flux de trafic. Vous pouvez également voir que le LAN local est validé dans la section Transport. ccnp_cch
16
Afficher les logs du Client VPN
4. Allez sur l'onglet Route Details pour voir si les routes auxquelles le Client VPN a toujours l'accès au LAN local. Dans cet exemple, le Client VPN a le droit d'accéder au LAN local /24 tandis que le reste du trafic n'est pas crypté et n'est pas transmis sur le tunnel. Afficher les logs du Client VPN Quand vous examinez les logs du client VPN, vous pouvez déterminer ou non si les paramètres qui spécifient le Split Tunneling sont présents. Pour voir les logs, allez sur l'onglet Log dans le Client VPN. Ensuite cliquez sur Log Settings pour valider ce qui doit être loggé. Dans cet exemple, IKE est fixé à 3-High tandis que les autre élé- ments de log sont fixés à 1- Low. ccnp_cch
17
ccnp_cch Cisco Systems VPN Client Version 4.0.5 (Rel)
Copyright (C) 1998−2003 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Windows, WinNT Running on: Service Pack 2 :20: /27/06 Sev=Info/6 IKE/0x B Attempting to establish a connection with !−−− Sortie supprimée :20: /27/06 Sev=Info/5 IKE/0x D Client sending a firewall request to concentrator :20: /27/06 Sev=Info/5 IKE/0x C Firewall Policy: Product=Cisco Systems Integrated Client, Capability= (Centralized Protection Policy). :20: /27/06 Sev=Info/5 IKE/0x C Firewall Policy: Product=Cisco Intrusion Prevention Security Agent, Capability= (Are you There?). :20: /27/06 Sev=Info/4 IKE/0x SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to :20: /27/06 Sev=Info/5 IKE/0x F Received ISAKMP packet: peer = :20: /27/06 Sev=Info/4 IKE/0x RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from :20: /27/06 Sev=Info/5 IKE/0x MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = :20: /27/06 Sev=Info/5 IKE/0x MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = :20: /27/06 Sev=Info/5 IKE/0x D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x :20: /27/06 Sev=Info/5 IKE/0x D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x :20: /27/06 Sev=Info/5 IKE/0x E MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems, Inc ASA5510 Version 7.2(1) built by root on Wed 31−May−06 14:45 !−−− Split tunneling est permit et le LAN distant est défini. ccnp_cch
18
ccnp_cch 29 14:20:14.238 07/27/06 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x 30 14:20: /27/06 Sev=Info/5 IKE/0x F SPLIT_NET #1 subnet = mask = protocol = 0 src port = 0 dest port=0 !−−− Sortie supprimée. Tester l'accès au LAN local avec Ping Un moyen supplémentaire de tester que le client VPN est configuré pour le split tun- neling lorsqu'un tunnel vers l'ASA existe, est d'utiliser la commande est d'utiliser la commande ping dans la ligne de commande Windows. Le LAN local du client VPN est /24 et un autre host est présent sur le réseau avec l'adresse IP C:\>ping Pinging with 32 bytes of data: Reply from : bytes=32 time<1ms TTL=255 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli−seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.