Configuración de la tunelización dividida dinámica de ASA/AnyConnect

Introducción

Este documento describe cómo configurar AnyConnect Secure Mobility Client para la tunelización de exclusión de división dinámica a través de ASDM.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Conocimientos básicos de ASA.
• Conocimientos básicos de Cisco AnyConnect Security Mobility Client.

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software:

• ASA 9.12(3)9
• Adaptive Security Device Manager (ASDM) 7.13(1)
• AnyConnect 4.7.0

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

La tunelización dividida de AnyConnect permite a Cisco AnyConnect Secure Mobility Client acceder de forma segura a los recursos corporativos a través de IKEV2 o Secure Sockets Layer (SSL).

Antes de la versión 4.5 de AnyConnect, basada en la política configurada en el dispositivo de seguridad adaptable (ASA), el comportamiento del túnel dividido podía ser Tunnel Specified (Túnel especificado), Tunnel All (Túnel especificado) o Exclude Specified (Excluir especificado).

Con la llegada de los recursos informáticos alojados en la nube, a veces los servicios se resuelven en una dirección IP diferente en función de la ubicación del usuario o de la carga de los recursos alojados en la nube.

Dado que AnyConnect Secure Mobility Client proporciona una tunelización dividida al rango de subred estática, host o conjunto de IPV4 o IPV6, a los administradores de red les resulta difícil excluir dominios/FQDN mientras configuran AnyConnect.

Por ejemplo, un administrador de red desea excluir el dominio Cisco.com de la configuración del túnel de división, pero la asignación DNS para Cisco.com cambia, ya que está alojado en la nube.

Mediante la tunelización Dynamic Split Exclude, AnyConnect resuelve dinámicamente la dirección IPv4/IPv6 de la aplicación alojada y realiza los cambios necesarios en la tabla de routing y los filtros para permitir que la conexión se realice fuera del túnel.

A partir de AnyConnect 4.5, se puede utilizar la tunelización dinámica de escupir en la que AnyConnect resuelve dinámicamente la dirección IPv4/IPv6 de la aplicación alojada y realiza los cambios necesarios en la tabla de routing y los filtros para permitir que la conexión se realice fuera del túnel

Configuración

En esta sección se describe cómo configurar Cisco AnyConnect Secure Mobility Client en ASA.

Diagrama de la red

Esta imagen muestra la topología utilizada para los ejemplos de este documento.

Paso 1. Crear atributos personalizados de AnyConnect

  

Desplácese hasta Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes. Haga clic en el Add botón, y establezca el dynamic-split-exclude-domains atributo y la descripción opcional, como se muestra en la imagen:

Paso 2. Crear nombre personalizado de AnyConnect y configurar valores

Desplácese hasta Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names. Haga clic en el Add botón, y establezca el dynamic-split-exclude-domains atributo creado anteriormente de Tipo, un nombre arbitrario y Valores, como se muestra en la imagen:

Tenga cuidado de no introducir espacios en Nombre. (Por ejemplo: Posible sitio de Cisco, Sitio de Cisco imposible) Cuando se registran varios dominios o FQDN en Valores, sepárelos con una coma (,).

Paso 3. Agregar tipo y nombre a la directiva de grupo

Desplácese hasta Configuration> Remote Access VPN> Network (Client) Access> Group Policies y seleccione una directiva de grupo. A continuación, navegue hasta Advanced> AnyConnect Client> Custom Attributes y agregue el Type y Name, tal como se muestra en la imagen:

Ejemplo de configuración CLI

Esta sección proporciona la configuración CLI de Dynamic Split Tunneling para fines de referencia.

ASAv10# show run
 --- snip ---
webvpn
 enable outside
 AnyConnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
 hsts
 enable
 max-age 31536000
 include-sub-domains
 no preload
 AnyConnect image disk0:/AnyConnect-win-4.7.04056-webdeploy-k9.pkg 1
 AnyConnect enable
 tunnel-group-list enable
 cache
 disable
 error-recovery disable
AnyConnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
group-policy GroupPolicy_AnyConnect-01 internal
group-policy GroupPolicy_AnyConnect-01 attributes
 wins-server none
 dns-server value 10.0.0.0
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelall
 split-tunnel-network-list value SplitACL
 default-domain value cisco.com
 AnyConnect-custom dynamic-split-exclude-domains value cisco-site

Limitaciones

• ASA versión 9.0 o posterior es necesario para utilizar los atributos personalizados de Dynamic Split Tunneling.
• No se admite el carácter comodín del campo Valores.
• La tunelización dividida dinámica no es compatible con los dispositivos iOS (Apple) (petición de mejora: ID de error de Cisco CSCvr54798).

Verificación

Para verificar el Dynamic Tunnel Exclusions, AnyConnectsoftware de inicio configurado en el cliente, haga clic en Advanced Window>Statistics, como se muestra en la imagen:





También puede navegar hasta Advanced Window>Route Details pestaña donde puede verificar Dynamic Tunnel Exclusionsque se enumeran Non-Secured Routes, debajo, como se muestra en la imagen.





En este ejemplo, ha configurado www.cisco.com Dynamic Tunnel Exclusion listdebajo y la captura de Wireshark recopilada en la interfaz física del cliente AnyConnect confirma que el tráfico a www.cisco.com (198.51.100.0) no está cifrado por DTLS.

Troubleshoot

En caso de que se utilice el carácter comodín en el campo Valores

Si se configura un comodín en el campo Valores, por ejemplo, *.cisco.com se configura en Valores, la sesión de AnyConnect se desconecta, como se muestra en los registros:

Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested

Nota: como alternativa, puede utilizar el dominio cisco.com en Valores para permitir FQDN como www.cisco.com y tools.cisco.com.

En caso de que no se vean las rutas no seguras en la pestaña Detalles de ruta


El cliente AnyConnect detecta y agrega automáticamente la dirección IP y el FQDN en la ficha Detalles de ruta, cuando el cliente inicia el tráfico para los destinos excluidos.

Para verificar que los usuarios de AnyConnect están asignados a la política de grupo de Anyconnect correcta, puede ejecutar el comando show vpn-sessiondb anyconnect filter name <username>

ASAv10# show vpn-sessiondb anyconnect filter name cisco

Session Type: AnyConnect

Username : cisco Index : 7
Assigned IP : 172.16.0.0 Public IP : 10.0.0.0
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 7795373 Bytes Rx : 390956
Group Policy : GroupPolicy_AnyConnect-01
Tunnel Group : AnyConnect-01
Login Time : 13:20:48 UTC Tue Mar 31 2020
Duration : 20h:19m:47s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 019600a9000070005e8343b0
Security Grp : none

Resolución general de problemas

Puede utilizar la herramienta de diagnóstico e informes (DART) de AnyConnect para recopilar los datos que son útiles para solucionar los problemas de instalación y conexión de AnyConnect. El asistente de la DART se utiliza en la computadora que ejecuta AnyConnect. La DART reúne los registros, el estado y la información de diagnóstico para el análisis de Cisco Technical Assistance Center (TAC) y no requiere privilegios de administrador para ejecutarse en la máquina del cliente.

Información Relacionada

• Guía del administrador de Cisco AnyConnect Secure Mobility Client, versión 4.7 - Acerca de la tunelización dividida dinámica
• ASDM Book 3: Guía de configuración de ASDM de VPN de la serie ASA de Cisco, 7.13 - Configuración de la tunelización dividida dinámica