Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parMarie Boulet Modifié depuis plus de 6 années
1
- Configurer l'accès Client VPN SSL AnyConnect
Sécurité - ASA8.0 - Configurer l'accès Client VPN SSL AnyConnect ccnp_cch
2
Sommaire ● Introduction - Prérequis - Composants utilisés
● Rappel ● Configurer - Etape 1. Configurer un certificat auto-signé - Etape 2. Charger et identifier l'image client VPN SSL - Etape 3. Valider l'accès AnyConnect - Etape 4. Créer un nouveau Group Policy - Etape 5. Configurer la liste d'accès Bypass pour les connexions VPN - Etape 6. Créer un profil de connexion de connexion et un group Tunnel pour le client AnyConnect - Etape 7. Configurer l'exemption NAT pour les clients AnyConnect - Etape 8. Ajouter des utilisateurs à la base de données locale ● Vérification ● Résolution de problèmes ccnp_cch
3
Introduction Ce document montre comment autoriser le connexions d'accès distant VPN vers l'ASA avec le client Cisco AnyConnect Prérequis Assurez-vous que vous avez ces prérequis avant de tenter cette configuration: Configuration de base de l'ASA qui opère avec un logiciel version 8.0 ASDM 6.0(2) Components Used Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: Cisco ASA 8.0(2), ASDM 6.0 (2) Cisco AnyConnect 2.0 Rappel Le client Cisco AnyConnect 2.0 est un client basé VPN SSL. Le client AnyConnect peut être utilisé et installé sur plusieurs systèmes d'exploitation dont Windows 2000, XP, Vista, Linux (Distribution multiples) et MAC OS X. Le client AnyConnect peut être ins- tallé manuellement sur le PC par l'administrateur système. Il peut être également char- gé sur l'appliance de sécurité et être prêt à être téléchargé par les utilisateurs. Après que l'application ait été chargée, elle peut se désinstaller automatiquement après la fin de la conexion ou rester sur le PC distant pour de futures connexions VPN SSL. Cet exemple montre que le client AnyConnect est prêt à être téléchargé sur authentification SSL réussie basée sur le navigateur. Note: Les MS Terminal Services ne sont pas supportés en conjonction avec le client AnyConnect. Vous ne pouvez pas vous connecter avec RDP à un ordinateur et ensuite initier une session AnyConnect. Vous ne pouvez pas vous connecter avec RDP à un client qui connecté via AnyConnect. Configurer Pour configurer l'ASA pour un accès VPN utilisant le client AnyConnect, exécutez ces étapes: 1. Configurer un certificat auto-signé 2. Charger et identifier l'image client VPN SSL 3. Valider l'accès AnyConnect 4. Créer un nouveau Group Policy 5. Configurer la liste d'accès Bypass pour les connexions VPN 6. Créer un profil de connexion de connexion et un group Tunnel pour le client AnyConnect 7. Configurer l'exemption NAT pour les clients AnyConnect 8. Ajouter des utilisateurs à la base de données locale ccnp_cch
4
ccnp_cch Etape 1. Configurer un Certificat auto-signé
Par défaut, l'appliance de sécurité a un certificat auto-signé qui est régénéré chaque fois que l'équipement est redémarré. Vous pouvez acheter votre propre certificat chez des vendeurs tels que Verisign ou EnTrust ou vous pouvez configurer l'ASA pour qu'il génère lui-même son certificat. Ce certificat ne change pas même si l'équipement est redémarré. Exécutez ces tapes pour générer un certificat auto-signé qui persiste quand l'équipement est redémarré. Procédure ASDM 1. Cliquez sur Configuration et ensuite cliquez sur Remote Access VPN. 2. Développez Certificate Management et ensuite choisissez Identity Certificates. 3. Cliquez sur Add et ensuite cliquez sur le bouton radio Add a new identity certificate. 4. Cliquez sur New. 5. Dans la boite de dialogue Add Key Pair, cliquez sur le bouton radio Enter new key pair name. 6. Entrez un nom pour identifier la paire de clés. Cet exemple utilise sslvpnkeypair. 7. Cliquez sur Generate Now. 8. Dans la boîte de dialogue Add Identity Certificate, assurez-vous que la paire de clés nouvellement crée est sélectionné. 9. Pour Certificate Subject DN, entrez le nom de domaine complet (FQDN) qui sera utilisé pour se connecter à l'interface de terminaison du VPN. CN=sslvpn.cisco.com 10. Cliquez sur Advanced et entrez le FQDN utilisé pour le champ Certificate Subject DN. Par exemple, FQDN: sslvpn.cisco.com 11. Cliquez sur OK. 12. Cochez la case Generate Self Signed Certificate puis cliquez sur Add Certificate. 13. Cliquez sur OK. 14. Cliquez sur Configuration et ensuite cliquez sur Remote Access VPN. 15. Développez Advanced et ensuite choisissez SSL Settings. 16. Dans la zone Certificates, choisissez l'interface qui sera utilisée pour terminer le VPN SSL (outside) puis cliquez sur Edit. 17. Dans la liste déroulante Certificate, choisissez le certificat auto-signé que vous avez généré précédemment. 18. Cliquez sur OK et ensuite cliquez sur Apply. ccnp_cch
5
ccnp_cch Exemple ligne de commande ciscoasa
ciscoasa(config)#crypto key generate rsa label sslvpnkeypair INFO: The name for the keys will be: sslvpnkeypair Keypair generation process begin. Please wait... !−−− Génère une clé RSA pour le certificat. !---(le nom doit être unique)par exemple, sslvpnkeypair.) ciscoasa(config)#crypto ca trustpoint localtrust !−−− Crée un trustpoint pour le certificat auto-signé. ciscoasa(config−ca−trustpoint)#enrollment self ciscoasa(config−ca−trustpoint)#fqdn sslvpn.cisco.com ciscoasa(config−ca−trustpoint)#subject−name CN=sslvpn.cisco.com !−−− Nom de domaine complet utilisé pour fqdn et CN. !−−− Le nom résoudre l'adresse IP de l'interface externe de l'ASA. ciscoasa(config−ca−trustpoint)#keypair sslvpnkeypair !−−− La clé RSA est affectée au trustpoint pour la création du !--- certificat. ciscoasa(config−ca−trustpoint)#crypto ca enroll localtrust noconfirm % The fully−qualified domain name in the certificate will be: sslvpn.cisco.com ciscoasa(config)# ssl trust−point localtrust outside !−−− Affecte le trustpoint devant être utilisé pour les !--- connexions SSL sur l'interface externe. ccnp_cch
6
ccnp_cch Etape 2. Charger et identifier l'image Client VPN SSL
Ce document utilise le client SSL AnyConnect 2.0. Vous pouvez obtenir ce client sur le site de téléchargement de logiciel Cisco. Une image différente de AnyConnect est requi- se pour chaque système d'exploitation que les utilisateurs envisagent d'utiliser. Une fois que vous avez obtenu le client AnyConnect, exécutez ces étapes: Procédure ASDM Cliquez sur Configuration et ensuite cliquez sur Remote Access VPN. 2. Développez Network (Client) Access et ensuite développez Advanced. 3. Développez SSL VPN et choisissez Client Settings. 4. Dans la zone SSL VPN Client Images cliquez sur Add et ensuite cliquez sur Upload. 5. Naviguez vers l'emplacement sur lequel vous téléchargez le client AnyConnect. 6. Sélectionnez le fichier et cliquez sur Upload File. Une fois que client est chargé vous recevez un message indiquant que le fichier a été chargé avec succès n mémoire flash. 7. Cliquez sur OK. Une boîte de dialogue s'affiche pour confirmer que vous voulez utiliser l'image nouvellement chargée comme image courant du client VPN SSL. 8. Cliquez sur OK. 9. Cliquez sur OK et ensuite cliquez sur Apply. 10. Répétez les étapes de cette section pour chaque paquetage AnyConnect propre à un système d'exploitation que vous voulez utiliser. Exemple ligne de commande ciscoasa ciscoasa(config)#copy tftp:// /anyconnect−win− −k9.pkg flash Address or name of remote host [ ]? Source filename [anyconnect−win− −k9.pkg]? Destination filename [anyconnect−win− −k9.pkg]? Accessing tftp:// /anyconnect−win− −k9.pkg...!!!!!!!!!!!!! Writing file disk0:/anyconnect−win− −k9.pkg... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! bytes copied in secs ( bytes/sec) !−−− L'image AnyConnect est téléchargée sur l'ASA via TFTP. ciscoasa(config)#webvpn ciscoasa(config−webvpn)#svc image disk0:/anyconnect−win− −k9.pkg 1 !−−− Spécifie que l'image AnyConnect doit être téléchargée par les !--- utilisateurs. L'image qui est la plus souvent téléchargée doit avoir !−−− le plus petit numéro. Cette image utilise 1 pour l'image AnyConnect !−−− Windows. ccnp_cch
7
ccnp_cch Etape 3: Valider l'accès AnyConnect
Pour permettre au client AnyConnect de se connecter à l'ASA, vous devez valider l'ac- cès sur l'interface qui termine les connexions VPN SSL. Cet exemple utilise l'interface externe pour terminer les connexions AnyConnect. Procédure ASDM Cliquez sur Configuration et ensuite cliquez sur Remote Access VPN. 2. Développez Network (Client) Access et ensuite choisissez SSL VPN Connection Profiles. 3. Cochez la case Enable Cisco AnyConnect VPN Client. 4. Cochez la case Allow Access pour l'interface externe et cliquez sur Apply. Exemple ligne de commande ciscoasa ciscoasa(config)#webvpn ciscoasa(config−webvpn)#enable outside ciscoasa(config−webvpn)#svc enable !−−− permet à AnyConnect d'être téléchargé vers les ordinateurs distants. Etape 4: Créer une nouvelle politique de groupe Une politique de groupe spécifie les paramètres de configuration qui doivent être appli- qués aux clients quand ils se connectent. Cet exemple crée une politique de groupe nommée SSLClientPolicy. Procédure ASDM 1. Cliquez sur Configuration et ensuite cliquez sur Remote Access VPN. 2. Développez Network (Client) Access et choisissez Group Policies. 3. Cliquez sur Add. 4. Choisissez General et entrez SSLClientPolicy dans le champ Name. 5. Décochez la case Address Pools Inherit . 6. Cliquez sur Select et ensuite cliquez sur Add. La boîte de dialogue Add IP Pool s'affiche. 7.Configurez le pool d'adresses IP dans un intervalle qui n'est pas en cours d'utili- sation dans votre réseau. Cet exemple utilise ces valeurs: Name: SSLClientPool Starting IP Address: Ending IP Address: Subnet Mask: ccnp_cch
8
ccnp_cch 8. Cliquez sur OK.
9. Choisissez le pool nouvellement crée et cliquez sur Assign. 10. Cliquez sur OK et ensuite cliquez sur More Options. 11. Décochez la case Tunneling Protocols Inherit. 12. Cochez SSL VPN Client. 13. Dans le panneau de gauche choisissez Servers. 14. Décochez la case DNS Servers Inherit et entrez l'adresse IP du serveur DNS interne que les clients AnyConnect vont utiliser. Cet exemple utilise 15. Cliquez sur More Options. 16. Décochez la case Default Domain Inherit. 17. Entrez le domaine utilisé par votre réseau interne. Par exemple tsweb.local . 18. Cliquez sur OK et ensuite cliquez sur Apply. Exemple ligne de commande ciscoasa ciscoasa(config)#ip local pool SSLClientPool − mask !−−− Define the IP pool. The IP pool should be a range of IP addresses !−−− Pool non utilisé dans le réseau interne. ciscoasa(config)#group−policy SSLCLientPolicy internal ciscoasa(config)#group−policy SSLCLientPolicy attributes ciscoasa(config−group−policy)#dns−server value !−−− Spécifie le serveur DNS interne à utiliser. ciscoasa(config−group−policy)#vpn−tunnel−protocol svc !−−− Spécifie le protocol tunnel VPN à utiliser par le Group Policy. ciscoasa(config−group−policy)#default−domain value tsweb.local !−−− Définit le domaine affecté par défaut aux utilisateurs VPN. ciscoasa(config−group−policy)#address−pools value SSLClientPool !−−− Affecte le pool IP crée au group policy SSLClientPolicy. ccnp_cch
9
connexion du client AnyConnect
Etape 5: Configurer la liste d'accès Bypass pour la connexion VPN Quand vous validez cette option, vous permettez aux clients SSL/IPSec de bypasser la liste d'accès de l'interface. Procédure ASDM Cliquez sur Configuration et ensuite cliquez sur Remote Access VPN. 2. Développez Network (Client) Access puis développez Advanced. 3. Développez SSL VPN et choisissez Bypass Interface Access List. 4. Assurez-vous que la case Enable inbound SSL VPN and IPSEC Sessions to bypass interface access lists est cochée puis cliquez sur Apply. Exemple ligne de commande ciscoasa ciscoasa(config)# sysopt connection permit−vpn !−−− Valide le bypass de la liste d'accès de l'interface pour les !−−− connexions VPN. Cet exemple utilise la commande vpn−filter pour !--- contrôle d'accès. ciscoasa(config−group−policy)# Etape 6: Créer un profil de connexion et un groupe Tunnel pour la connexion du client AnyConnect Quand les clients VPN se connectent à l'ASA, ils se connectent à un profil de connexion ou groupe tunnel. Le groupe tunnel est utilisé pour définir les paramètres de connexion pour des types de connexions VPN spécifiques tels que IPSec L2L, IPSec accès distant, SSL sans client et client SSL. Procédure ASDM Cliquez sur Configuration et ensuite cliquez sur Remote Access VPN. 2. Développez Network (Client) Access et ensuite développez SSL VPN. 3. Choisissez Connection Profiles et ensuite cliquez sur Add. 4. Choisissez Basic et entrez ces valeurs: Name: SSLClientProfile Authentication: LOCAL Default Group Policy: SSLClientPolicy 5. Assurez-vous que la case SSL VPN Client Protocol est cochée. 6. Dans le panneau de gauche développez Advanced et choisissez SSL VPN. 7. Sous Connection Aliases cliquez sur Add et entrez un nom auquel les utilisateurs peuvent associer leurs connexions VPN. Par exemple, SSLVPNClient. 8. Cliquez sur OK et ensuite cliquez de nouveau sur OK. 9. Dans le bas de le fenêtre de l'ASDM, cochez la case Allow user to select connec- tion, identified by alias in the table above at login page puis cliquez sur Apply. ccnp_cch
10
ccnp_cch Exemple ligne de commande ciscoasa
ciscoasa(config)#tunnel−group SSLClientProfile type remote−access !−−− Définit un groupe tunnel à utiliser pour les connexions d'accès !--- VPN distantes. ciscoasa(config)#tunnel−group SSLClientProfile general−attributes ciscoasa(config−tunnel−general)#default−group−policy SSLCLientPolicy ciscoasa(config−tunnel−general)#tunnel−group SSLClientProfile webvpn−attributes ciscoasa(config−tunnel−webvpn)#group−alias SSLVPNClient enable !−−− Affecte un alias au groupe tunnel. ciscoasa(config−tunnel−webvpn)#webvpn ciscoasa(config−webvpn)#tunnel−group−list enable !−−− Valide la sélection alias/groupe tunnel pour les connexions VPN SSL. Etape 7: Configurer l'exemption NAT pour les clients AnyConnect L'exemption NAT doit être configurée pour toutes adresses IP ou intervalles d'adresses auxquelles vous voulez que les clients VON SSL accèdent. Dans cet exemple, les clients VPN SSL ont besoin d'accéder uniquement à l'adresse IP interne Note: Si nat-control n'est pas validé, cette étape n'est pas requise. Utilisez la comman- de show run nat-control pour vérifier. Pour vérifier avec l'ASDM, cliquez sur Confi- guration puis cliquez sur Firewall et choisissez Nat Rules. Si la case Enable traffic through the firewall without address translation est cochée, vous pouvez passer cette étape. Procédure ASDM 1. Cliquez sur Configuration et ensuite cliquez sur Firewall. 2. Choisissez Nat Rules et cliquez sur Add. 3. Choisissez Add NAT Exempt Rule et entrez ces valeurs: Action: Exempt Interface: inside Source: Destination: /24 NAT Exempt Direction: Exempte de NAT le trafic sortant de l'interface 'inside' vers des interfaces de sécurité plus faible (Défaut). 4. Cliquez sur OK et ensuite cliquez sur Apply. ccnp_cch
11
ccnp_cch Exemple ligne de commande ciscoasa
ciscoasa(config)#access−list no_nat extended permit ip host !−−− Définit la liste d'accès à utiliser pour l'exemption NAT. ciscoasa(config)#nat (inside) 0 access−list no_nat !−−− Autorise les connexions externes vers des adresses internes sans NAT !−−− définies par la liste d'accès no_nat. ciscoasa(config)# Etape 8: Ajouter des utilisateurs à la base de données locale Si vous utilisez l'authentification locale (par défaut), vous devez définir des noms d'uti- lisateurs et des mots de passe dans la base de données locale pour l'authentification utilisateur. Procédure ASDM 1. Cliquez sur Configuration et ensuite cliquez sur Remote Access VPN. 2. Développez AAA Setup et choisissez Local Users. 3. Cliquez sur Add et entrez ces valeurs: Username: matthewp Password: Confirm Password: 4. Sélectionnez le bouton radio No ASDM, SSH, Telnet or Console Access. 5. Cliquez sur OK et ensuite cliquez sur Apply. 6. Répétez ces étapes pour d'autres utilisateurs puis cliquez sur Save. Exemple ligne de commande ciscoasa ciscoasa(config)#username matthewp password ciscoasa(config)#username matthewp attributes ciscoasa(config−username)#service−type remote−access !−−− Affecte l'accès distant uniquement. Pas d'accès SSH, Telnet, ASDM !--- autorisés. ciscoasa(config−username)#write memory !−−− Save the configuration. ccnp_cch
12
Vérification ccnp_cch
Utilisez cette section pour vérifier que la configuration VPN SSL est correcte. Connexion à l'ASA avec le client AnyConnect Installez le client directement sur un PC et connectez-vous à l'interface externe de l'ASA ou entrez https et le FQDN/Adresse IP de l'ASA dans un navigateur Web. Si vous utilisez un navigateur web, le client s'installe lui-même après un login réussi. Vérifier les connexions client VPN SSL Utilisez la commande show vpn−sessiondb svc pour voir les clients VPN SSL qui sont connectés. ciscoasa(config−group−policy)#show vpn−sessiondb svc Session Type: SVC Username : matthewp Index : 6 Assigned IP : Public IP : Protocol : Clientless SSL−Tunnel DTLS−Tunnel Encryption : RC4 AES128 Hashing : SHA1 Bytes Tx : Bytes Rx : 27543 Group Policy : SSLClientPolicy Tunnel Group : SSLClientProfile Login Time : 20:06:59 UTC Tue Oct Duration : 0h:00m:12s NAC Result : Unknown VLAN Mapping : N/A VLAN : none ciscoasa(config−group−policy)# La commande vpn−sessiondb logoff name username déconnecte les utilisateurs par nom d'utilisateur. Un message Administrator Reset est transmis à l'utilisateur quand il est déconnecté. ciscoasa(config)#vpn−sessiondb logoff name matthewp Do you want to logoff the VPN session(s)? [confirm] INFO: Number of sessions with name "matthewp" logged off : 1 ciscoasa(config)# ccnp_cch
13
Résolution de problèmes
Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes liés à votre configuration. Commandes pour résolution de problèmes debug webvpn svc Affiche les messages de debug sur les connexions vers les clients VPN SSL sur WebVPN. Login AnyConnect avec succès ciscoasa(config)#debug webvpn svc 255 INFO: debug webvpn svc enabled at level 255. ciscoasa(config)#ATTR_FILTER_ID: Name: SSLVPNClientAccess , Id: 1, refcnt: 1 webvpn_rx_data_tunnel_connect CSTP state = HEADER_PROCESSING http_parse_cstp_method() ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1' webvpn_cstp_parse_request_field() ...input: 'Host: ' − !−−− Addresse IP externe de l'ASA Processing CSTP header line: 'Host: ' ...input: 'User−Agent: Cisco AnyConnect VPN Client 2, 0, 0343' − !−−− Version AnyConnect Processing CSTP header line: 'User−Agent: Cisco AnyConnect VPN Client 2, 0, 0343' Setting user−agent to: 'Cisco AnyConnect VPN Client 2, 0, 0343' ...input: 'Cookie: 63CE02164F AC72EE70AE' Processing CSTP header line: 'Cookie: Found WebVPN cookie: WebVPN Cookie: 164F AC72EE70AE' IPADDR: ' ', INDEX: '28672', LOGIN: ' ' ...input: 'X−CSTP−Version: 1' Processing CSTP header line: 'X−CSTP−Version: 1' Setting version to '1' ...input: 'X−CSTP−Hostname: wkstation1' − !−−− Nom de la machine client Processing CSTP header line: 'X−CSTP−Hostname: wkstation1' Setting hostname to: 'wkstation1' ...input: 'X−CSTP−Accept−Encoding: deflate;q=1.0' Processing CSTP header line: 'X−CSTP−Accept−Encoding: deflate;q=1.0' ...input: 'X−CSTP−MTU: 1206' ccnp_cch
14
ccnp_cch Login Anyconnect avec échec (Mot de passe incorrect)
Processing CSTP header line: 'X−CSTP−MTU: 1206' webvpn_cstp_parse_request_field() ...input: 'X−CSTP−Address−Type: IPv4' Processing CSTP header line: 'X−CSTP−Address−Type: IPv4' ...input: 'X−DTLS−Master−Secret: 72B8AD72F327059AE22CBB451CB0948AFBE98296 FD84949EB6CAEDC203865C76BDBD634845FA89634C668A67152ABB51' Processing CSTP header line: 'X−DTLS−Master−Secret: 72B8AD72F327059AE22CB B451CB0948AFBE98296FD84949EB6CAEDC203865C76BDBD634845FA8 9634C668A67152ABB51' ...input: 'X−DTLS−CipherSuite: AES256−SHA:AES128−SHA:DES−CBC3−SHA:DES−CBC−SHA' Processing CSTP header line: 'X−DTLS−CipherSuite: AES256−SHA:AES128−SHA: DES−CBC3−SHA:DES−CBC−SHA' Validating address: CSTP state = WAIT_FOR_ADDRESS webvpn_cstp_accept_address: / − !−−− Adresse IP affectée à partir du Pool IP CSTP state = HAVE_ADDRESS SVC: NP setup np_svc_create_session(0x7000, 0xD41612C8, TRUE) webvpn_svc_np_setup SVC ACL Name: NULL SVC ACL ID: −1 vpn_put_uauth success! SVC IPv6 ACL Name: NULL SVC IPv6 ACL ID: −1 SVC: adding to sessmgmt SVC: Sending response Unable to initiate NAC, NAC might not be enabled or invalid policy CSTP state = CONNECTED webvpn_rx_data_cstp webvpn_rx_data_cstp: got internal message Login Anyconnect avec échec (Mot de passe incorrect) webvpn_portal.c:ewaFormSubmit_webvpn_login[1808] ewaFormSubmit_webvpn_login: tgCookie = 0 ewaFormSubmit_webvpn_login: cookie = d53d2990 ewaFormSubmit_webvpn_login: tgCookieSet = 0 ewaFormSubmit_webvpn_login: tgroup = NULL webvpn_portal.c:http_webvpn_kill_cookie[627] webvpn_auth.c:http_webvpn_pre_authentication[1905] WebVPN: calling AAA with ewsContext (− ) and nh (− )! WebVPN: started user authentication... webvpn_auth.c:webvpn_aaa_callback[4380] WebVPN: AAA status = (REJECT) webvpn_auth.c:http_webvpn_post_authentication[1180] WebVPN: user: (matthewp) rejected. http_remove_auth_handle(): handle 9 not found! webvpn_portal.c:ewaFormServe_webvpn_login[1749] ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.