Exemple de configuration d'ASA/PIX : serveur VPN distant avec NAT entrant pour le trafic client VPN avec CLI et ASDM

Introduction

Ce document décrit comment configurer le dispositif de sécurité adaptatif (ASA) de la gamme Cisco 5500 pour qu'il agisse en tant que serveur VPN distant à l'aide de l'Adaptive Security Device Manager (ASDM) ou du CLI et du NAT pour le trafic entrant du client VPN. L'ASDM fournit la gestion et la surveillance de la sécurité de classe mondiale par une interface de gestion basée sur le Web, intuitive et facile à utiliser. Une fois la configuration Cisco ASA terminée, elle peut être vérifiée via le client VPN Cisco.

Conditions préalables

Exigences

Ce document suppose que l´ASA est complètement opérationnel et configuré pour permettre au Cisco ASDM ou CLI d'apporter des modifications de configuration. L'ASA est également supposé être configuré pour la NAT sortante. Référez-vous à Autoriser les hôtes internes à accéder aux réseaux externes avec l'utilisation de PAT pour plus d'informations sur la façon de configurer la NAT sortante.

Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM ou PIX/ASA 7.x : SSH sur l'exemple de configuration d'interface interne et externe pour permettre au périphérique d'être configuré à distance par l'ASDM ou Secure Shell (SSH).

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Logiciel Cisco Adaptive Security Appliance versions 7.x et ultérieures

• Adaptive Security Device Manager Versions 5.x et ultérieures

• Client VPN Cisco Versions 4.x et ultérieures

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produits connexes

Vous pouvez également utiliser cette configuration avec le dispositif de sécurité Cisco PIX Versions 7.x et ultérieures.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Les configurations d'accès à distance fournissent un accès à distance sécurisé pour les Clients VPN Cisco, tels que les utilisateurs mobiles. Un VPN d'accès à distance permet aux utilisateurs distants d´accéder sécuritairement aux ressources réseau centralisées. Le Client VPN Cisco se conforme au protocole IPSec et est spécifiquement conçu pour fonctionner avec l'appareil de sécurité. Cependant, l'appareil de sécurité peut établir des connexions d'IPSec avec beaucoup de clients protocol-conformes. Référez-vous aux Guides de configuration ASA pour plus d'informations sur IPSec.

Les groupes et les utilisateurs sont des concepts de noyau en Gestion de la Sécurité des VPN et dans la configuration de l'appareil de sécurité. Ils spécifient les attributs qui déterminent l'accès d'utilisateurs et l'utilisation du VPN. Un groupe est une collection d'utilisateurs traités comme entité unique. Les utilisateurs obtiennent leurs attributs dans les politiques de groupe. Les groupes de tunnels identifient la stratégie de groupe pour des connexions spécifiques. Si vous n'affectez pas de stratégie de groupe particulière aux utilisateurs, la stratégie de groupe par défaut pour la connexion s'applique.

Un groupe de tunnel se compose d'un ensemble d´enregistrements qui détermine les politiques de connexion de tunnel. Ces enregistrements identifient les serveurs auxquels les utilisateurs du tunnel sont authentifiés, ainsi que les serveurs de comptabilité, le cas échéant, auxquels les informations de connexion sont envoyées. Ils identifient également une politique de groupe par défaut pour les connexions, et ils contiennent des paramètres protocol-spécifiques de connexion. Les groupes de tunnels incluent un petit nombre d'attributs qui concernent la création du tunnel lui-même. Les groupes de tunnel incluent un pointeur à une politique de groupe qui définit des attributs adaptés à l'utilisateur.

Configurations

Configurer ASA/PIX en tant que serveur VPN distant avec ASDM

Complétez ces étapes afin de configurer le Cisco ASA en tant que serveur VPN distant avec ASDM :

1. Ouvrez votre navigateur et entrez https://<IP_Address de l'interface de l'ASA qui a été configurée pour l'accès ASDM> afin d'accéder à l'ASDM sur l'ASA.

   Prenez soin d'autoriser tous les avertissements que votre navigateur vous donne en ce qui concerne l'authenticité de certificat SSL. Le nom d'utilisateur par défaut et le mot de passe sont tous deux vides.

   L'ASA présente cette fenêtre pour permettre le téléchargement de l'application ASDM. Cet exemple charge l'application sur l'ordinateur local et ne fonctionne pas dans une applet Java.

   

2. Cliquez sur Download ASDM Launcher and Start ASDM pour télécharger le programme d'installation de l'application ASDM.

3. Une fois le lanceur d'ASDM téléchargé, exécutez les étapes stipulées par les invites afin d'installer le logiciel et d'exécuter le lanceur de Cisco ASDM.

4. Entrez l'adresse IP pour l'interface que vous avez configurée avec la commande http -, ainsi qu'un nom d'utilisateur et un mot de passe, le cas échéant.

   Cet exemple utilise cisco123 comme nom d'utilisateur et cisco123 comme mot de passe.

   

5. Sélectionnez Wizards > IPsec VPN Wizard dans la fenêtre Home.

   

6. Sélectionnez le type de tunnel VPN d'accès à distance et assurez-vous que l'interface de tunnel VPN est définie comme souhaité, et cliquez sur Next comme indiqué ici.

   

7. Le type de client VPN est sélectionné, comme illustré. Le client VPN Cisco est sélectionné ici. Cliquez sur Next (Suivant).

   

8. Écrivez un nom pour le nom du groupe tunnel. Entrez les informations d'authentification à utiliser, qui sont la clé pré-partagée dans cet exemple. La clé pré-partagée utilisée dans cet exemple est cisco123. Le nom du groupe de tunnels utilisé dans cet exemple est cisco. Cliquez sur Next (Suivant).

   

9. Choisissez si vous voulez que des utilisateurs distants soient authentifiés à la base de données des utilisateurs locaux ou à un groupe de serveurs AAA externe.

   Remarque : vous ajoutez des utilisateurs à la base de données des utilisateurs locaux à l'étape 10.

   Remarque : référez-vous à Exemple de configuration d'authentification et d'autorisation de groupes de serveurs PIX/ASA 7.x pour les utilisateurs VPN via ASDM pour des informations sur la façon de configurer un groupe de serveurs AAA externe avec ASDM.

   

10. Fournissez un nom d'utilisateur et un mot de passe facultatif et cliquez sur Add afin d'ajouter de nouveaux utilisateurs à la base de données d'authentification des utilisateurs. Cliquez sur Next (Suivant).

    Remarque : ne supprimez pas les utilisateurs existants de cette fenêtre. Sélectionnez Configuration > Device Management > Users/AAA > User Accounts dans la fenêtre principale d'ASDM pour modifier les entrées existantes dans la base de données ou les supprimer de la base de données.

    

11. Afin de définir un pool d'adresses locales à attribuer dynamiquement aux clients VPN distants, cliquez sur New pour créer un nouveau pool d'adresses IP.

    

12. Dans la nouvelle fenêtre intitulée Add IP Pool, fournissez ces informations et cliquez sur OK.

    1. Nom du pool d'adresses IP

    2. Adresse IP de début

    3. Adresse IP de fin

    4. Subnet Mask (Masque de sous-réseau)

    

13. Après avoir défini le pool d'adresses locales à attribuer dynamiquement aux clients VPN distants lors de leur connexion, cliquez sur Next.

    

14. Facultatif : spécifiez les informations de serveur DNS et WINS et un nom de domaine par défaut à transmettre aux clients VPN distants.

    

15. Spécifiez les paramètres pour l'IKE, également connus sous le nom de IKE phase 1.

    Les configurations des deux côtés du tunnel doivent correspondre exactement. Cependant, le Client VPN Cisco sélectionne automatiquement la configuration appropriée pour lui-même. Par conséquent, aucun configuration d´IKE n'est nécessaire sur le PC Client.

    

16. Cette fenêtre montre un résumé des actions que vous avez prises. Cliquez sur Finish si vous êtes satisfait de votre configuration.

    

Configurer le trafic client VPN entrant ASA/PIX vers NAT avec ASDM

Complétez ces étapes afin de configurer le trafic du client VPN entrant Cisco ASA vers NAT avec ASDM :

1. Choisissez Configuration > Firewall > Nat Rules, puis cliquez sur Add. Dans la liste déroulante, sélectionnez Add Dynamic NAT Rule.

   

2. Dans la fenêtre Add Dynamic NAT Rule, choisissez Outside comme interface, puis cliquez sur le bouton Browse en regard de la zone Source.

   

3. Dans la fenêtre Parcourir la source, sélectionnez les objets réseau appropriés et choisissez également la source sous la section Source sélectionnée, puis cliquez sur OK. Ici, l'objet réseau 192.168.1.0 est sélectionné.

   

4. Cliquez sur Gérer.

   

5. Dans la fenêtre Gérer le pool global, cliquez sur Ajouter.

   

6. Dans la fenêtre Add Global Address Pool, choisissez Inside comme interface et 2 comme ID de pool. Assurez-vous également que la case d'option en regard de PAT using IP Address de l'interface est sélectionnée. Cliquez sur Add>>, puis sur OK.

   

7. Cliquez sur OK après avoir sélectionné le pool global avec l'ID de pool 2 configuré à l'étape précédente.

   

8. Cliquez à présent sur Apply afin que la configuration soit appliquée à l'ASA.Ceci termine la configuration.

   

Configurez ASA/PIX en tant que serveur VPN distant et pour la NAT entrante avec l'interface de ligne de commande

ciscoasa#show running-config 

: Saved
ASA Version 8.0(3)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif Outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa803-k8.bin
ftp mode passive
access-list inside_nat0_outbound extended permit ip any 192.168.1.0 255.255.255
0
pager lines 24
logging enable
mtu Outside 1500
mtu inside 1500
ip local pool vpnpool 192.168.1.1-192.168.1.254 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-615.bin
asdm history enable
arp timeout 14400
nat-control
global (Outside) 1 interface
global (inside) 2 interface
nat (Outside) 2 192.168.1.0 255.255.255.0 outside
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
route Outside 0.0.0.0 0.0.0.0 10.10.10.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
no snmp-server location
no snmp-server contact


!--- Configuration for IPsec policies. !--- Enables the crypto transform configuration mode, !--- where you can specify the transform sets that are used !--- during an IPsec negotiation.

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SH
 ESP-DES-MD5
crypto map Outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map Outside_map interface Outside
crypto isakmp enable Outside


!--- Configuration for IKE policies. !--- Enables the IKE policy configuration (config-isakmp) !--- command mode, where you can specify the parameters that !--- are used during an IKE negotiation. Encryption and !--- Policy details are hidden as the default values are chosen. 

crypto isakmp policy 10
authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400
crypto isakmp policy 30
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400
telnet timeout 5
ssh timeout 60
console timeout 0
management-access inside
threat-detection basic-threat
threat-detection statistics access-list
group-policy cisco internal
group-policy cisco attributes
 vpn-tunnel-protocol IPSec


!--- Specifies the username and password with their !--- respective privilege levels

username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 0

username cisco attributes
 vpn-group-policy cisco
tunnel-group cisco type remote-access
tunnel-group cisco general-attributes
 address-pool vpnpool
 default-group-policy cisco


!--- Specifies the pre-shared key "cisco123" which must !--- be identical at both peers. This is a global !--- configuration mode command.

tunnel-group cisco ipsec-attributes
 pre-shared-key *
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f2ad6f9d5bf23810a26f5cb464e1fdf3
: end
ciscoasa#

Vérifier

Essayez de vous connecter à Cisco ASA via le client VPN Cisco afin de vérifier que l'ASA est correctement configuré.

1. Cliquez sur New.

   

2. Complétez les détails de votre nouvelle connexion.

   Le champ Hôte doit contenir l'adresse IP ou le nom d'hôte du Cisco ASA précédemment configuré. Les informations d'authentification de groupe doivent correspondre à celles utilisées à l'étape 4. Cliquez sur Save lorsque vous avez terminé.

   

3. Sélectionnez la connexion de création récente, et cliquez sur Connect.

   

4. Saisissez un nom utilisateur et un mot de passe pour l'authentification étendue. Ces informations doivent correspondre à celles spécifiées aux étapes 5 et 6.

   

5. Une fois la connexion établie avec succès, choisissez Statistics dans le menu Status afin de vérifier les détails du tunnel.

   

   Cette fenêtre montre les informations de trafic et de cryptage :

   

   Cette fenêtre montre les informations de split tunneling :

   

Dispositif de sécurité ASA/PIX - Commandes show

• show crypto isakmp sa — Affiche toutes les SA IKE en cours au niveau d'un homologue.

  ASA#show crypto isakmp sa
  
        Active SA: 1
      Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
  Total IKE SA: 1
  
  1   IKE Peer: 10.10.10.1
      Type    : user            Role    : responder
      Rekey   : no              State   : AM_ACTIVE

• show crypto ipsec sa — Affiche toutes les SA IPsec en cours au niveau d'un homologue.

  ASA#show crypto ipsec sa
  			interface: Outside
      Crypto map tag: SYSTEM_DEFAULT_CRYPTO_MAP, seq num: 65535, local addr: 10.10
  .10.2
  
        local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/0/0)
        current_peer: 10.10.10.1, username: cisco123
        dynamic allocated peer ip: 192.168.1.1
  
        #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20
        #pkts decaps: 74, #pkts decrypt: 74, #pkts verify: 74
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0
        #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
        #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
        #send errors: 0, #recv errors: 0
  
        local crypto endpt.: 10.10.10.2, remote crypto endpt.: 10.10.10.1
  
        path mtu 1500, ipsec overhead 58, media mtu 1500
        current outbound spi: F49F954C
  
      inbound esp sas:
        spi: 0x3C10F9DD (1007745501)
           transform: esp-des esp-md5-hmac none
           in use settings ={RA, Tunnel, }
           slot: 0, conn_id: 24576, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
           sa timing: remaining key lifetime (sec): 27255
           IV size: 8 bytes
           replay detection support: Y
      outbound esp sas:
        spi: 0xF49F954C (4104099148)
           transform: esp-des esp-md5-hmac none
           in use settings ={RA, Tunnel, }
           slot: 0, conn_id: 24576, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
           sa timing: remaining key lifetime (sec): 27255
           IV size: 8 bytes
           replay detection support: Y

• ciscoasa(config)#debug icmp trace
  
  !--- Inbound Nat Translation is shown below for Outside to Inside
  
  ICMP echo request translating Outside:192.168.1.1/768 to inside:172.16.1.2/1
  ICMP echo reply from inside:172.16.1.3 to Outside:172.16.1.2 ID=1 seq=7936 len=3
  2
  
  !--- Inbound Nat Translation is shown below for Inside to Outside
  
  ICMP echo reply untranslating inside:172.16.1.2/1 to Outside:192.168.1.1/768
  ICMP echo request from Outside:192.168.1.1 to inside:172.16.1.3 ID=768 seq=8192
  len=32
  ICMP echo request translating Outside:192.168.1.1/768 to inside:172.16.1.2/1
  ICMP echo reply from inside:172.16.1.3 to Outside:172.16.1.2 ID=1 seq=8192 len=3
  2
  ICMP echo reply untranslating inside:172.16.1.2/1 to Outside:192.168.1.1/768
  ICMP echo request from 192.168.1.1 to 172.16.1.2 ID=768 seq=8448 len=32
  ICMP echo reply from 172.16.1.2 to 192.168.1.1 ID=768 seq=8448 len=32
  ICMP echo request from 192.168.1.1 to 172.16.1.2 ID=768 seq=8704 len=32
  ICMP echo reply from 172.16.1.2 to 192.168.1.1 ID=768 seq=8704 len=32
  ICMP echo request from 192.168.1.1 to 172.16.1.2 ID=768 seq=8960 len=32
  ICMP echo reply from 172.16.1.2 to 192.168.1.1 ID=768 seq=8960 len=32

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Référez-vous à Solutions de dépannage VPN IPSec L2L et d'accès à distance les plus courantes pour plus d'informations sur la façon de dépanner le VPN de site à site.

Informations connexes

• Dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500
• Cisco Adaptive Security Device Manager
• Dépannage et alertes des dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500
• Assistance et documentation techniques - Cisco Systems