Configuration de la transmission tunnel partagée dynamique ASA/AnyConnect

Introduction

Ce document décrit comment configurer AnyConnect Secure Mobility Client pour la tunnellisation dynamique avec exclusion de fractionnement via ASDM.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Connaissances de base sur ASA.
• Connaissances de base du client Cisco AnyConnect Security Mobility.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

• ASA 9.12(3)9
• Adaptive Security Device Manager (ASDM) 7.13(1)
• AnyConnect 4.7.0

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

La transmission tunnel partagée AnyConnect permet au client Cisco AnyConnect Secure Mobility d'accéder de manière sécurisée aux ressources de l'entreprise via IKEV2 ou SSL (Secure Sockets Layer).

Avant AnyConnect version 4.5, en fonction de la stratégie configurée sur l'appliance de sécurité adaptatif (ASA), le comportement de tunnel partagé pouvait être Tunnel Specified, Tunnel All ou Exclude Specified.

Avec l'avènement des ressources informatiques hébergées dans le cloud, les services se résolvent parfois en une adresse IP différente en fonction de l'emplacement de l'utilisateur ou de la charge des ressources hébergées dans le cloud.

Comme le client AnyConnect Secure Mobility fournit une tunnellisation partagée vers une plage de sous-réseaux statiques, un hôte ou un pool d'IPV4 ou d'IPV6, il devient difficile pour les administrateurs réseau d'exclure des domaines/noms de domaine complets pendant qu'ils configurent AnyConnect.

Par exemple, un administrateur réseau souhaite exclure le domaine Cisco.com de la configuration du tunnel partagé, mais le mappage DNS de Cisco.com change car il est hébergé dans le cloud.

À l’aide de la transmission tunnel Dynamic Split Exclude, AnyConnect résout dynamiquement l’adresse IPv4/IPv6 de l’application hébergée et apporte les modifications nécessaires à la table de routage et aux filtres pour permettre la connexion en dehors du tunnel.

À partir de AnyConnect 4.5, la tunnellisation dynamique à la source peut être utilisée, dans laquelle AnyConnect résout dynamiquement l'adresse IPv4/IPv6 de l'application hébergée et apporte les modifications nécessaires dans la table de routage et les filtres pour permettre la connexion à l'extérieur du tunnel

Configuration

Cette section explique comment configurer le client pour la mobilité sécurisée Cisco AnyConnect sur l’ASA.

Diagramme du réseau

Cette image présente la topologie utilisée pour les exemples de ce document.

Étape 1. Créer des attributs personnalisés AnyConnect

  

Accédez à Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes. Cliquez sur Add le bouton et définissez l' dynamic-split-exclude-domains attribut et la description facultative, comme indiqué dans l'image :

Étape 2. Créer un nom personnalisé AnyConnect et configurer les valeurs

Accédez à Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names. Cliquez Add sur le bouton et définissez l' dynamic-split-exclude-domains attribut créé précédemment à partir de Type, un nom arbitraire et de Values, comme illustré dans l'image :

Veillez à ne pas entrer d'espace dans le champ Nom. (Par exemple : Possible cisco-site, Impossible cisco site) Lorsque plusieurs domaines ou noms de domaine complets dans Valeurs sont enregistrés, séparez-les par une virgule (,).

Étape 3. Ajouter un type et un nom à la stratégie de groupe

Accédez à Configuration> Remote Access VPN> Network (Client) Access> Group Policies et sélectionnez une stratégie de groupe. Ensuite, accédez à Advanced> AnyConnect Client> Custom Attributes et ajoutez le configuré Type et Name, comme illustré dans l'image :

Exemple de configuration CLI

Cette section fournit la configuration CLI de Dynamic Split Tunneling à des fins de référence.

ASAv10# show run
 --- snip ---
webvpn
 enable outside
 AnyConnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
 hsts
 enable
 max-age 31536000
 include-sub-domains
 no preload
 AnyConnect image disk0:/AnyConnect-win-4.7.04056-webdeploy-k9.pkg 1
 AnyConnect enable
 tunnel-group-list enable
 cache
 disable
 error-recovery disable
AnyConnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
group-policy GroupPolicy_AnyConnect-01 internal
group-policy GroupPolicy_AnyConnect-01 attributes
 wins-server none
 dns-server value 10.0.0.0
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelall
 split-tunnel-network-list value SplitACL
 default-domain value cisco.com
 AnyConnect-custom dynamic-split-exclude-domains value cisco-site

Limites

• ASA version 9.0 ou ultérieure est nécessaire pour utiliser les attributs personnalisés de Dynamic Split Tunneling.
• Le caractère générique n'est pas pris en charge dans le champ Valeurs.
• La tunnellisation partagée dynamique n'est pas prise en charge sur les périphériques iOS (Apple) (demande d'amélioration : ID de bogue Cisco CSCvr54798).

Vérifier

Afin de vérifier le logiciel de Dynamic Tunnel Exclusions, AnyConnectlancement configuré sur le client, cliquez sur Advanced Window>Statistics, comme montré l'image :





Vous pouvez également naviguer jusqu'à Advanced Window>Route Details onglet où vous pouvez vérifier Dynamic Tunnel Exclusionsque sont répertoriés Non-Secured Routes, sous comme indiqué dans l'image.





Dans cet exemple, vous avez configuré www.cisco.com Dynamic Tunnel Exclusion listet la capture Wireshark collectée sur l'interface physique du client AnyConnect confirme que le trafic vers www.cisco.com (198.51.100.0) n'est pas chiffré par DTLS.

Dépannage

Dans le cas où le caractère générique est utilisé dans le champ Valeurs

Si un caractère générique est configuré dans le champ Valeurs, par exemple, *.cisco.com est configuré dans Valeurs, la session AnyConnect est déconnectée, comme indiqué dans les journaux :

Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested

Remarque : vous pouvez également utiliser le domaine cisco.com dans Valeurs pour autoriser les noms de domaine complets tels que www.cisco.com et tools.cisco.com.

Dans le cas où les routes non sécurisées ne sont pas visibles dans l'onglet Détails de la route


Le client AnyConnect apprend et ajoute automatiquement l’adresse IP et le nom de domaine complet dans l’onglet Détails de la route, lorsque le client initie le trafic pour les destinations exclues.

Afin de vérifier que les utilisateurs AnyConnect sont affectés à la stratégie de groupe Anyconnect correcte, vous pouvez exécuter la commande show vpn-sessiondb anyconnect filter name <username>

ASAv10# show vpn-sessiondb anyconnect filter name cisco

Session Type: AnyConnect

Username : cisco Index : 7
Assigned IP : 172.16.0.0 Public IP : 10.0.0.0
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 7795373 Bytes Rx : 390956
Group Policy : GroupPolicy_AnyConnect-01
Tunnel Group : AnyConnect-01
Login Time : 13:20:48 UTC Tue Mar 31 2020
Duration : 20h:19m:47s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 019600a9000070005e8343b0
Security Grp : none

Dépannage général

Vous pouvez utiliser l'outil DART (AnyConnect Diagnostics and Reporting Tool) afin de collecter les données utiles pour résoudre les problèmes d'installation et de connexion d'AnyConnect. L’assistant DART est utilisé sur l’ordinateur qui utilise AnyConnect. L’outil DART regroupe les journaux, l’état et les renseignements de diagnostic pour l’analyse du Centre d’assistance technique de Cisco et n’exige aucun privilège administrateur pour fonctionner sur la machine du client.

Informations connexes

• Guide de l'administrateur du client Cisco AnyConnect Secure Mobility, version 4.7 - À propos de la tunnellisation partagée dynamique
• ASDM Book 3 : Cisco ASA Series VPN ASDM Configuration Guide, 7.13 - Configure Dynamic Split Tunneling