Embed Size (px)
Citation preview
Client vpn et accès client d'AnyConnect àl'exemple local de configuration LAN Contenu
IntroductionConditions préalablesConditions requisesComposants utilisésDiagramme du réseauInformations généralesConfigurez l'accès local au LAN pour les clients vpn ou le client sécurisé de mobilité d'AnyConnectConfigurez l'ASA par l'intermédiaire de l'ASDMConfigurez l'ASA par l'intermédiaire du CLIConfigurez le Client à mobilité sécurisé Cisco AnyConnectPréférences de l'utilisateurExemple de profil XMLVérifierClient de mobilité sécurisée Cisco AnyConnectTester l'accès local au LAN avec un pingDépannerIncapable d'imprimer ou de naviguer par nomInformations connexes
Introduction
Ce document décrit comment permettre au Client VPN Cisco ou au Client à mobilité sécuriséCisco AnyConnect pour accéder à seulement leur réseau local tandis que percé un tunnel dans lagamme 5500 d'une appliance de sécurité adaptable Cisco (ASA) ou la gamme 5500-X ASA. Cetteconfiguration permet des Clients VPN Cisco ou l'accès sécurisé de Client à mobilité sécuriséCisco AnyConnect aux ressources de l'entreprise par l'intermédiaire d'IPsec, de Secure SocketsLayer (SSL), ou de version 2 (IKEv2) d'échange de clés Internet (IKE) et donne toujours au clientla capacité d'effectuer des activités telles que l'impression où le client se trouve. Si c'est autorisé,le trafic destiné à l'Internet est encore tunnelisé vers l'ASA.
Note: Ce n'est pas une configuration pour la Transmission tunnel partagée, où le client deroutage a l'accès à Internet décrypté tandis qu'il est connecté à l'ASA ou au PIX. Référez-vous à PIX/ASA 7.x : Permettez la Segmentation de tunnel pour des clients vpn surl'exemple de configuration ASA pour les informations sur la façon dont configurer laSegmentation de tunnel sur l'ASA.
Conditions préalables
Exigences
Ce document suppose qu'une configuration VPN fonctionnelle d'Accès à distance existe déjà surl'ASA.
Référez-vous à PIX/ASA 7.x en tant que serveur VPN distant utilisant l'exemple de configurationASDM pour le Client VPN Cisco si on n'est pas déjà configuré.
Référez-vous à l'accès VPN ASA 8.x avec l'exemple de configuration de client de VPN SSLd'AnyConnect pour le Client à mobilité sécurisé Cisco AnyConnect si on n'est pas déjà configuré.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et delogiciel suivantes :
Version 9(2)1 de gamme de Cisco ASA 5500●
Version 7.1(6) du Cisco Adaptive Security Device Manager (ASDM)●
Version 5.0.07.0440 de Client VPN Cisco●
Version 3.1.05152 de Client à mobilité sécurisé Cisco AnyConnect●
Les informations contenues dans ce document ont été créées à partir des périphériques d'unenvironnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ontdémarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Diagramme du réseau
Le client se trouve sur un réseau typique du Small Office/Home Office (SOHO) et se connecte àtravers l'Internet au bureau central.
Informations générales
Àla différence d'un scénario classique de Segmentation de tunnel dans lequel tout le trafic Internetest envoyé à décrypté, quand vous activez l'accès local au LAN pour des clients vpn, il permet àces clients pour communiquer décrypté avec seulement des périphériques sur le réseau sur lequelils se trouvent. Par exemple, un client qui est permis l'accès local au LAN tandis que connecté àl'ASA de la maison peut imprimer à sa propre imprimante mais pour ne pas accéder à l'Internet
sans envoyer d'abord le trafic au-dessus du tunnel.
Une liste d'accès est utilisée afin de permettre l'accès de réseau local LAN plus ou moins de lamême façon que la Transmission tunnel partagée est configurée sur l'ASA. Cependant, au lieu dedéfinir les réseaux qui devraient être cryptés, la liste d'accès définit dans ce cas les réseaux qui nedevraient pas être cryptés. En outre, à la différence du scénario de Transmission tunnel partagée,les réseaux réels dans la liste n'ont pas besoin d'être connus. Au lieu de cela, l'ASA fournit unréseau par défaut de 0.0.0.0/255.255.255.255, on comprend que qui signifie le réseau local duclient.
Note: Quand le client est connecté et configuré pour l'accès local au LAN, vous ne pouvezpas imprimer ou parcourir de nom sur le réseau local. Cependant, vous pouvez naviguer ouimprimer par adresse IP. Voyez la section de dépannage de ces pour en savoir plus aussibien que contournements de document pour cette situation.
Configurez l'accès local au LAN pour les clients vpn ou le clientsécurisé de mobilité d'AnyConnect
Terminez-vous ces tâches afin de permettre l'accès de Clients VPN Cisco ou de Clients à mobilitésécurisés Cisco AnyConnects à leur réseau local tandis que connecté à l'ASA :
Configurez l'ASA par l'intermédiaire de l'ASDM ou configurez l'ASA par l'intermédiaire du CLI●
Configurez le Client à mobilité sécurisé Cisco AnyConnect●
Configurez l'ASA par l'intermédiaire de l'ASDM
Terminez-vous ces étapes dans l'ASDM afin de permettre à des clients vpn pour avoir l'accèslocal au LAN tandis que connecté à l'ASA :
Choisissez la configuration > l'Accès à distance VPN > réseau (client) Access > stratégie degroupe et sélectionnez la stratégie de groupe dans laquelle vous souhaitez activer l'accèslocal au LAN. Cliquez alors sur Edit.
1.
Allez à avancé > Segmentation de tunnel.2.
Décochez la case d'héritage pour la stratégie et choisissez excluent la liste des réseaux ci-dessous.
3.
Décochez la case d'héritage pour la liste des réseaux et puis cliquez sur parviennent afin delancer le gestionnaire de liste de contrôle d'accès (ACL).
4.
Chez le gestionnaire d'ACL, choisissez ajoutent > ajoutent l'ACL… afin de créer une nouvelleliste d'accès.
5.
Fournissez un nom pour l'ACL et cliquez sur OK.6.
Une fois que l'ACL est créé, choisissez Add > Add ACE... afin d'ajouter une Entrée decontrôle d'accès (ACE).
7.
Définissez l'ACE qui correspond au réseau local LAN du client de routage.
Choisissez Permit.Choisissez une adresse IP 0.0.0.0Choisissez un netmask de/32.((Facultatif) Fournissez une description.Cliquez sur OK.
8.
Cliquez sur OK afin de quitter l'ACL Manager.9.
Soyez sûr que l'ACL que vous avez juste créé est sélectionné pour le Split Tunnel NetworkList.
10.
Cliquez sur OK afin de retourner à la configuration de la stratégie de groupe.11.
Cliquez sur Apply puis sur Send (s'il y a lieu) afin d'envoyer les commandes à l'ASA.12.
Configurez l'ASA par l'intermédiaire du CLI
Au lieu d'utiliser l'ASDM, vous pouvez exécuter ces étapes dans l'ASA CLI afin de permettre à desclients VPN d'avoir un accès au réseau local LAN tandis qu'ils sont connectés à l'ASA:
Passez en mode de configuration.
ciscoasa>enable
Password:
ciscoasa#configure terminal
ciscoasa(config)#
1.
Créez la liste d'accès afin de permettre l'accès local au LAN.
ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
Attention : En raison des changements de la syntaxe d'ACL entre les versions de logiciel 8.xASA à 9.x, cet ACL pas permited plus et les admins verront ce message d'erreur quand ils
2.
essayent de le configurer :hôte standard 0.0.0.0 d'autorisation de test de liste d'accèsrtpvpnoutbound6(config)#ERREUR : adresse IP incorrect
La seule chose qui est permise est :autorisation standard any4 de test de liste d'accèsrtpvpnoutbound6(config)#
C'est un problème connu et a été adressé par l'ID de bogue Cisco CSCut3131. Mise à jour àune version avec la difficulté pour cette bogue afin de pouvoir configurer l'accès local auLAN.Écrivez le mode de configuration de stratégie de groupe pour la stratégie que vous souhaitezmodifier.
ciscoasa(config)#group-policy hillvalleyvpn attributes
ciscoasa(config-group-policy)#
3.
Spécifiez la stratégie de transmission tunnel partagée. Dans ce cas, lastratégie excludespecified.
ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
4.
Spécifiez la liste d'accès de transmission tunnel partagée. Dans ce cas, la liste estLocal_LAN_Access.
ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
5.
Émettez la commande suivante :
ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
6.
Associez la stratégie de groupe au groupe de tunnels
ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
7.
Quittez les deux modes de configuration.
ciscoasa(config-group-policy)#exit
ciscoasa(config)#exit
ciscoasa#
8.
Sauvegardez la configuration dans une mémoire vive non volatile (NVRAM) et appuyezEnter lorsqu'on vous invite à spécifier le nom de fichier source.
9.
ciscoasa#copy running-config startup-config
Source filename [running-config]?
Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
3847 bytes copied in 3.470 secs (1282 bytes/sec)
ciscoasa#
Configurez le Client à mobilité sécurisé Cisco AnyConnect
Afin de configurer le Client à mobilité sécurisé Cisco AnyConnect, référez-vous à l'établissementla connexion de VPN SSL avec la section de SVC d'ASA 8.x : Exemple de configurationd'autorisation de la Transmission tunnel partagée pour un client VPN AnyConnect sur le dispositifASA
Pour une Transmission tunnel non partagée, il faut que vous activiez AllowLocalLanAccess dansle client de routage d'AnyConnect. Toute Transmission tunnel non partagée est considéréecomme un accès au réseau local LAN. Afin d'utiliser la fonctionnalité de l'exclusion de latransmission tunnel partagée, vous devez activer la préférence AllowLocalLanAccess dans lespréférences de client VPN d'AnyConnect. Par défaut, l'accès de réseau local LAN est désactivé.
Afin de permettre l'accès local au LAN, et donc fractionnement-exclure le Tunnellisation, unadministrateur réseau peut l'activer dans le profil ou les utilisateurs peuvent l'activer dans leursconfigurations de préférences (voyez l'image dans la section suivante). Afin de permettre l'accèsau réseau local LAN, un utilisateur sélectionne la case à cocher Allow Local LAN access si latransmission tunnel partagée est activée sur la passerelle sécurisée et si elle est configurée avecla stratégie indiquée de transmission tunnel partagée exclue. En outre, vous pouvez configurer leprofil de client vpn si on permet l'accès local au LAN avec des <LocalLanAccessUserControllable= >true</LocalLanAccess> " vrai ".
Préférences de l'utilisateur
Voici les sélections que vous devriez faire dans l'onglet de préférences sur le Client à mobilitésécurisé Cisco AnyConnect afin de permettre l'accès local au LAN.
Exemple de profil XML
Voici un exemple de la façon configurer le profil de client vpn avec le XML.
ciscoasa#copy running-config startup-config
Source filename [running-config]?
Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
3847 bytes copied in 3.470 secs (1282 bytes/sec)
ciscoasa#
Vérifiez
Exécutez les étapes décrites dans ces parties afin de vérifier votre configuration.
Visualisez le DART●
Tester l'accès local au LAN avec un ping●
Connectez votre Client à mobilité sécurisé Cisco AnyConnect à l'ASA afin de vérifier votre
configuration.
Choisissez votre entrée de connexion de la liste de serveur et le clic se connectent.1.
Choisissez la fenêtre avancée pour tous les composants > statistiques… afin d'afficher letunnel mode.
2.
Cliquez sur l'onglet de détails d'artère afin de voir les artères auxquelles le Client à mobilitésécurisé Cisco AnyConnect a toujours l'accès local.
Dans cet exemple, on permet au client l'accès local au LAN à 10.150.52.0/22 et à169.254.0.0/16 tandis que tout autre trafic est chiffré et envoyé à travers le tunnel.
3.
Client de mobilité sécurisée Cisco AnyConnect
Quand vous examinez les logs d'AnyConnect des diagnostics et l'outil de génération de rapports(DART) empaquettent, vous pouvez déterminer si le paramètre qui permet l'accès local au LANest placé.
ciscoasa#copy running-config startup-config
Source filename [running-config]?
Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
3847 bytes copied in 3.470 secs (1282 bytes/sec)
ciscoasa#
Tester l'accès local au LAN avec un ping
Une manière supplémentaire de tester que le client vpn a toujours l'accès local au LAN tandis quepercé un tunnel au headend VPN est d'utiliser la commande ping à la ligne de commande deMicrosoft Windows. Voici un exemple où le réseau local du client est 192.168.0.0/24 et un autre
hôte est présent sur le réseau avec une adresse IP de 192.168.0.3.
C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Dépanner
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Incapable d'imprimer ou de naviguer par nom
Quand le client VPN est connecté et configuré pour l'accès de réseau local LAN, vous ne pouvezpas imprimer ni naviguer par nom sur le réseau local LAN. Il existe deux options possibles pourcontourner cette situation:
la navigation ou l'impression adresse IP.
Afin de parcourir, au lieu du \ de syntaxe \ sharename, utilisez \ de syntaxe \ x.x.x.xoù x.x.x.x est l'adresse IP de l'ordinateur hôte.
Afin d'imprimer, changez les propriétés pour l'imprimante en réseau afin d'utiliser une adresseIP au lieu d'un nom. Par exemple, au lieu du la syntaxe \\sharename\printername, utilisez\\x.x.x.x\printername, où x.x.x.x est une adresse IP.
●
Créez ou modifiez le fichier LMHOSTS de client VPN. Un fichier lmhosts sur un PC deMicrosoft Windows te permet pour créer les mappages statiques entre les adresses Internetet les adresses IP. Par exemple, un fichier LMHOSTS pourrait ressembler à ceci:
C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
En Edition Professionnelle de Microsoft Windows XP, le fichier lmhosts se trouvedans %SystemRoot%\System32\Drivers\Etc. Référez-vous à votre documentation Microsoft
●
ou à pour en savoir plus de l'article 314108 de base de connaissances de Microsoft.
Informations connexes
Exemple de configuration de PIX/ASA 7.x comme serveur de VPN distant avec l'ASDM●
Exemple de configuration d'un client VPN SSL (SVC) sur IOS avec SDM●
Dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500●
Support et documentation techniques - Cisco Systems●
