Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parAgathe St-Jean Modifié depuis plus de 6 années
1
PIX ASA 7.x - Autoriser l'accès au LAN local pour les Clients VPN
ccnp_cch
2
Sommaire • Introduction - Prérequis - Composants utilisés - Schéma du réseau - Produits liés • Rappel • Configurer l'accès au LAN local pour des clients VPN - Configuration de l'ASA via l'ASDM - Configuration de l'ASA via la CLI - Configuration du Client VPN • Vérification - Connexion avec le client VPN - Afficher les logs di Client VPN - Test de l'accès LAN local avec ping • Résolution de problèmes - Impossibilité d'utiliser un nom pour imprimer ou naviguer ccnp_cch
3
Introduction ccnp_cch
Ce document fournit des instructions étape par étape sur comment autoriser des Clients VPN Cisco à accéder uniquement à leur LAN local pendant qu'ils utilisent un tunnel dans l'appliance de sécurité Cisco ASA 5500 ou PIX série 500. Cette configu- ration permet aux clients VPN d'avoir un accès sécurisé au réseau de l'entreprise via IPSec et donnent toujours la capacité d'avoir des activités telles que l'impression loca- le quelque soit l'emplacement du client. Si cela est permis, le trafic destiné à Internet passe également par le tunnel vers l'ASA ou le PIX. Note: Ce n'est pas une configuration de tunnel partagé dans laquelle le client a un accès Internet non crypté pendant qu'il est connecté à l'ASA ou au PIX. Prérequis Ce document suppose qu'une configuration VPN accès distant existe déjà sur l'ASA ou le PIX. Reférez-vous à "PIX ASA 7.x as a remote VPN server using ASDM Configuration Example" si celui-ci n'est pas configuré. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● Cisco ASA 5500 Series Security Appliance version 7.2 ● Cisco VPN Client version 4.0.5 Schéma du réseau /24 /24 Internet /24 Produits liés Cette configuration peut être aussi utilisée avec des PIX Cisco série 500 version 7.x. ccnp_cch
4
Rappel Au contraire d'un scénario de partage de tunnel classique dans lequel tout le trafic In- ternet est transmis non crypté quand vous validez l'accès au LAN local pour des clients VPN celui-ci permet à ces clients de communiquer en non crypté avec des équipements sur le réseau sur lequel ils sont situés. Par exemple, un client VPN qui a accès au LAN local quand il est connecté à l'ASA est capable d'imprimer sur sa propre imprimante locale mais accède toujours à Internet en passant par le tunnel. Une liste d'accès est utilisée pour autoriser l'accès au LAN local quasiment de la même manière que pour la configuration du tunnel partagé sur l'ASA. Cependant, au lieu de définir quels réseaux doivent utiliser le cryptage, la liste d'accès dans ce cas définit quels sont les réseaux qui ne doivent pas utiliser le cryptage. Ainsi au contraire du scénario de partage de tunnel, les réseaux actuels dans la liste d'accès n'ont pas besoin d'être connus. A la place, l'ASA fournit un réseau par défaut / qui est compris comme le réseau LAN local du client VPN. Note: Quand le client VPN est connecté et configuré pour l'accès au LAN local, vous ne pouvez pas imprimer ou naviguer par nom sur le LAN local. Toutefois vous pouvez im- primer ou naviguer avec l'adresse IP. Configurer l'accès au LAN local pour les clients VPN Exécutez ces deux tâches pour autoriser les clients VPN à accéder à leur LAN local quand ils sont connectés au concentrateur VPN. ● Configurez l'ASA via l'ASDM (Adaptive Security Device Manager) ou configurez l'ASA via la CLI. ● Configurez le client VPN. ccnp_cch
5
Configurer l'ASA via l'ASDM
Exécutez ces étapes dans l'ASDM pour permettre aux clients VPN d'avoir un accès au LAN local quand ils sont connectés à l'ASA Choisir Configuration> VPN> General> Group Policy et sélectionnez le Group Poli- cy que vous voulez valider pour l'entrée sur le LAN local. Ensuite cliquez sur Edit. ccnp_cch
6
2. Choisissez l'onglet Client Configuration.
ccnp_cch
7
3. Décochez la boîte Inherit pour Split Tunneling Policy et choisissez
Exclude Network List below. ccnp_cch
8
4. Décochez la boite Inherit pour Split Tunnel Network List et cliquez sur Manage pour lancer l'ACL Manager. ccnp_cch
9
5. Dans l'ACL Manager choisissez Add> Add ACL… pour créer une nouvelle liste
d'accès. 6. Donnez un nom pour l'ACL puis cliquez sur Ok. ccnp_cch
10
7. Une fois que l'ACL est créee, choisissez Add> Add ACE… pour ajouter une Access Control Liste Entry (ACE). ccnp_cch
11
ccnp_cch 8. Définissez l'ACE qui correspond au LAN local du client.
a. Choisissez permit b. Choisissez une adresse IP égale à c. Choisissez un masque égal à d. (Optionnel) Donnez une description e. Cliquez sur Ok 9. Cliquez sur Ok pour sortir de l'ACL Manager. ccnp_cch
12
10. Assurez-vous que l'ACL que vous venez de créer est sélectionnée pour Split
Tunnel Network List. ccnp_cch
13
11. Cliquez sur Ok pour retourner à la configuration Group Policy.
ccnp_cch
14
12. Cliquez sur Apply et ensuite Send (si requis) pour transmettre les commandes à l'ASA.
Configurer l'ASA via la CLI Au lieu d'utiliser l'ASDM, vous pouvez exécuter ces étapes en utilisant la CLI pour permettre aux clients VPN d'avoir un accès au LAN local quand ils sont connectés à l'ASA Entrez en mode configuration ciscoasa>enable Password: ciscoasa#configure terminal ciscoasa(config)# 2. Créez une liste d'accès pour permettre l'accès au LAN local. ciscoasa(config)#access−list Local_LAN_Access remark VPN Client Local LAN Access ciscoasa(config)#access−list Local_LAN_Access standard permit host ccnp_cch
15
3. Entrez en mode de configuration Group Policy pour la politique que vous voulez
modifier ciscoasa(config)#group−policy hillvalleyvpn attributes ciscoasa(config−group−policy)# 4. Spécifiez la politique de partage de tunnel. Dans ce cas la liste d'accès est excludespecified. ciscoasa(config−group−policy)#split−tunnel−policy excludespecified 5. Spécifiez la liste d'accès de partage de tunnel. Dans ce cas la liste d'accès est Local_LAN_Access. ciscoasa(config−group−policy)#split−tunnel−network−list value Local_LAN_Access 6. Sortir des deux modes de configuration. ciscoasa(config−group−policy)#exit ciscoasa(config)#exit ciscoasa# 7. Sauvegarder la configuration en NVRAM et pressez Entrer quand on vous demande de spécifier le nom de fichier source. ciscoasa#copy running−config startup−config Source filename [running−config]? Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a 3847 bytes copied in secs (1282 bytes/sec) ccnp_cch
16
ccnp_cch Configurer le client VPN
Exécutez ces étapes dans le Client VPN pour permettre au client d'avoir accès au LAN local quand il est connecté à l'ASA Choisissez votre entrée de connexion existante et cliquez sur Modify. 2. Allez sur l'onglet Transport et cochez Allow Local LAN Access. Cliquez sur Save quand cela est fait. ccnp_cch
17
Vérification ccnp_cch
Suivre ces étapes dans ces sections pour vérifier votre configuration. ● Connectez vous avec le Client VPN ● Afficher les logs du Client VPN ● Testez l'accès LAN local avec Ping Se connecter avec le client VPN Connectez votre Client VPN au concentrateur VPN pour vérifier votre configuration Choisissez votre entrée de connexion et cliquez sur Connect. 2. Entrez vos coordonnées. ccnp_cch
18
3. Choisissez Status> Statistics pour afficher la fenêtre Tunnel Details sur laquelle
vous pouvez vérifier les particularités du tunnel et voir le flux de trafic. Vous pouvez également voir que le LAN local est validé dans la section Transport. 4. Allez sur l'onglet Route Details pour voir si les routes auxquelles le Client VPN a toujours l'accès au LAN local. Dans cet exemple, le Client VPN a le droit d'accéder au LAN local /24 tandis que le reste du trafic est crypté et transmis sur le tunnel. ccnp_cch
19
Afficher les logs du Client VPN
Quand vous examinez les logs du client VPN, vous pouvez déterminer si le paramètre qui autorise l'accès au LAN local est configuré. Pour voir les logs, allez sur le panneau Log dans le Client VPN. Ensuite cliquez sur Log Settings pour valider ce qui doit être loggé. Dans cet exemple, IKE est fixé à 3-High tandis que les autre éléments de log sont fixés à 1- Low. Cisco Systems VPN Client Version (Rel) Copyright (C) 1998−2003 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Windows, WinNT Running on: Service Pack 2 1 14:20: /27/06 Sev=Info/6 IKE/0x B Attempting to establish a connection with !−−− Partie supprimée. 18 14:20: /27/06 Sev=Info/5 IKE/0x D Client sending a firewall request to concentrator 19 14:20: /27/06 Sev=Info/5 IKE/0x C Firewall Policy: Product=Cisco Systems Integrated Client, Capability= (Centralized Protection Policy). 20 14:20: /27/06 Sev=Info/5 IKE/0x C Firewall Policy: Product=Cisco Intrusion Prevention Security Agent, Capability= (Are you There?). 21 14:20: /27/06 Sev=Info/4 IKE/0x SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to ccnp_cch
20
ccnp_cch 22 14:20:14.208 07/27/06 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 23 14:20: /27/06 Sev=Info/4 IKE/0x RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 24 14:20: /27/06 Sev=Info/5 IKE/0x MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 25 14:20: /27/06 Sev=Info/5 IKE/0x MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 26 14:20: /27/06 Sev=Info/5 IKE/0x D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x 27 14:20: /27/06 Sev=Info/5 IKE/0x D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x 28 14:20: /27/06 Sev=Info/5 IKE/0x E MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems, Inc ASA5510 Version 7.2(1) built by root on Wed 31−May−06 14:45 !−−− L'accès LAN local est permis et le LAN local est défini. 29 14:20: /27/06 Sev=Info/5 IKE/0x D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets), value = 0x 30 14:20: /27/06 Sev=Info/5 IKE/0x F LOCAL_NET #1 subnet = mask = protocol = 0 src port = 0 dest port=0 !−−− Partie supprimée. ccnp_cch
21
Tester l'accès au LAN local ave Ping
Un moyen supplémentaire de tester que le client VPN a toujours accès au LAN local tandis qu'un tunnel IPSec est ouvert vers le concentrateur VPN est d'utiliser la com- mande ping dans la ligne de commande Windows. Le LAN local du client VPN est /24 et un autre host est présent sur le réseau avec l'adresse IP C:\>ping Pinging with 32 bytes of data: Reply from : bytes=32 time<1ms TTL=255 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli−seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms Résolution de problèmes Impossibilité d'imprimer ou de naviguer par Nom Quand le client VPN est connecté et configuré pour avoir un accès au LAN local, vous ne pouvez pas imprimer ou naviguer en utilisant un nom sur le LAN local. Il y a deux options disponibles pour contourner ce problème. ● Naviguer ou imprimer avec l'adresse IP. - Pour naviguer, au lieu d'utiliser la syntaxe \\sharename, utilisez la syntaxes \\x.x.x.x où x.x.x.x est l'adresse IP du host. - Pour imprimer, changer les propriétés de l'imprimante réseau pour utiliser une adresse IP à la place du nom. Par exemple au lieu de la syntaxe \\sharename\ printername, utilisez \\x.x.x.x où x.x.x.x est une adresse IP. ● Créer ou modifier le fichier LMHOSTS du Client VPN. Un fichier LMHOSTS sur un PC Windows vous permet de créer des correspondances statiques entre les noms et les adresses IP. Par exemple un fichier LMHOSTS peut ressembler à cela: SERVER1 SERVER2 SERVER3 Dans Windows XP Professionnel, le fichier LMHOSTS est situé dans %System Root% \System32\Drivers\... ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.