Ce document décrit comment configurer le dispositif de sécurité adaptatif (ASA) de la gamme Cisco 5500 pour qu'il agisse en tant que serveur VPN distant à l'aide de l'Adaptive Security Device Manager (ASDM) ou du CLI et du NAT pour le trafic entrant du client VPN. L'ASDM fournit la gestion et la surveillance de la sécurité de classe mondiale par une interface de gestion basée sur le Web, intuitive et facile à utiliser. Une fois la configuration Cisco ASA terminée, elle peut être vérifiée via le client VPN Cisco.
Ce document suppose que l´ASA est complètement opérationnel et configuré pour permettre au Cisco ASDM ou CLI d'apporter des modifications de configuration. L'ASA est également supposé être configuré pour la NAT sortante. Référez-vous à Autoriser les hôtes internes à accéder aux réseaux externes avec l'utilisation de PAT pour plus d'informations sur la façon de configurer la NAT sortante.
Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM ou PIX/ASA 7.x : SSH sur l'exemple de configuration d'interface interne et externe pour permettre au périphérique d'être configuré à distance par l'ASDM ou Secure Shell (SSH).
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Logiciel Cisco Adaptive Security Appliance versions 7.x et ultérieures
Adaptive Security Device Manager Versions 5.x et ultérieures
Client VPN Cisco Versions 4.x et ultérieures
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Vous pouvez également utiliser cette configuration avec le dispositif de sécurité Cisco PIX Versions 7.x et ultérieures.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Les configurations d'accès à distance fournissent un accès à distance sécurisé pour les Clients VPN Cisco, tels que les utilisateurs mobiles. Un VPN d'accès à distance permet aux utilisateurs distants d´accéder sécuritairement aux ressources réseau centralisées. Le Client VPN Cisco se conforme au protocole IPSec et est spécifiquement conçu pour fonctionner avec l'appareil de sécurité. Cependant, l'appareil de sécurité peut établir des connexions d'IPSec avec beaucoup de clients protocol-conformes. Référez-vous aux Guides de configuration ASA pour plus d'informations sur IPSec.
Les groupes et les utilisateurs sont des concepts de noyau en Gestion de la Sécurité des VPN et dans la configuration de l'appareil de sécurité. Ils spécifient les attributs qui déterminent l'accès d'utilisateurs et l'utilisation du VPN. Un groupe est une collection d'utilisateurs traités comme entité unique. Les utilisateurs obtiennent leurs attributs dans les politiques de groupe. Les groupes de tunnels identifient la stratégie de groupe pour des connexions spécifiques. Si vous n'affectez pas de stratégie de groupe particulière aux utilisateurs, la stratégie de groupe par défaut pour la connexion s'applique.
Un groupe de tunnel se compose d'un ensemble d´enregistrements qui détermine les politiques de connexion de tunnel. Ces enregistrements identifient les serveurs auxquels les utilisateurs du tunnel sont authentifiés, ainsi que les serveurs de comptabilité, le cas échéant, auxquels les informations de connexion sont envoyées. Ils identifient également une politique de groupe par défaut pour les connexions, et ils contiennent des paramètres protocol-spécifiques de connexion. Les groupes de tunnels incluent un petit nombre d'attributs qui concernent la création du tunnel lui-même. Les groupes de tunnel incluent un pointeur à une politique de groupe qui définit des attributs adaptés à l'utilisateur.
Complétez ces étapes afin de configurer le Cisco ASA en tant que serveur VPN distant avec ASDM :
Ouvrez votre navigateur et entrez https://<IP_Address de l'interface de l'ASA qui a été configurée pour l'accès ASDM> afin d'accéder à l'ASDM sur l'ASA.
Prenez soin d'autoriser tous les avertissements que votre navigateur vous donne en ce qui concerne l'authenticité de certificat SSL. Le nom d'utilisateur par défaut et le mot de passe sont tous deux vides.
L'ASA présente cette fenêtre pour permettre le téléchargement de l'application ASDM. Cet exemple charge l'application sur l'ordinateur local et ne fonctionne pas dans une applet Java.
Cliquez sur Download ASDM Launcher and Start ASDM pour télécharger le programme d'installation de l'application ASDM.
Une fois le lanceur d'ASDM téléchargé, exécutez les étapes stipulées par les invites afin d'installer le logiciel et d'exécuter le lanceur de Cisco ASDM.
Entrez l'adresse IP pour l'interface que vous avez configurée avec la commande http -, ainsi qu'un nom d'utilisateur et un mot de passe, le cas échéant.
Cet exemple utilise cisco123 comme nom d'utilisateur et cisco123 comme mot de passe.
Sélectionnez Wizards > IPsec VPN Wizard dans la fenêtre Home.
Sélectionnez le type de tunnel VPN d'accès à distance et assurez-vous que l'interface de tunnel VPN est définie comme souhaité, et cliquez sur Next comme indiqué ici.
Le type de client VPN est sélectionné, comme illustré. Le client VPN Cisco est sélectionné ici. Cliquez sur Next (Suivant).
Écrivez un nom pour le nom du groupe tunnel. Entrez les informations d'authentification à utiliser, qui sont la clé pré-partagée dans cet exemple. La clé pré-partagée utilisée dans cet exemple est cisco123. Le nom du groupe de tunnels utilisé dans cet exemple est cisco. Cliquez sur Next (Suivant).
Choisissez si vous voulez que des utilisateurs distants soient authentifiés à la base de données des utilisateurs locaux ou à un groupe de serveurs AAA externe.
Remarque : vous ajoutez des utilisateurs à la base de données des utilisateurs locaux à l'étape 10.
Remarque : référez-vous à Exemple de configuration d'authentification et d'autorisation de groupes de serveurs PIX/ASA 7.x pour les utilisateurs VPN via ASDM pour des informations sur la façon de configurer un groupe de serveurs AAA externe avec ASDM.
Fournissez un nom d'utilisateur et un mot de passe facultatif et cliquez sur Add afin d'ajouter de nouveaux utilisateurs à la base de données d'authentification des utilisateurs. Cliquez sur Next (Suivant).
Remarque : ne supprimez pas les utilisateurs existants de cette fenêtre. Sélectionnez Configuration > Device Management > Users/AAA > User Accounts dans la fenêtre principale d'ASDM pour modifier les entrées existantes dans la base de données ou les supprimer de la base de données.
Afin de définir un pool d'adresses locales à attribuer dynamiquement aux clients VPN distants, cliquez sur New pour créer un nouveau pool d'adresses IP.
Dans la nouvelle fenêtre intitulée Add IP Pool, fournissez ces informations et cliquez sur OK.
Nom du pool d'adresses IP
Adresse IP de début
Adresse IP de fin
Subnet Mask (Masque de sous-réseau)
Après avoir défini le pool d'adresses locales à attribuer dynamiquement aux clients VPN distants lors de leur connexion, cliquez sur Next.
Facultatif : spécifiez les informations de serveur DNS et WINS et un nom de domaine par défaut à transmettre aux clients VPN distants.
Spécifiez les paramètres pour l'IKE, également connus sous le nom de IKE phase 1.
Les configurations des deux côtés du tunnel doivent correspondre exactement. Cependant, le Client VPN Cisco sélectionne automatiquement la configuration appropriée pour lui-même. Par conséquent, aucun configuration d´IKE n'est nécessaire sur le PC Client.
Cette fenêtre montre un résumé des actions que vous avez prises. Cliquez sur Finish si vous êtes satisfait de votre configuration.
Complétez ces étapes afin de configurer le trafic du client VPN entrant Cisco ASA vers NAT avec ASDM :
Choisissez Configuration > Firewall > Nat Rules, puis cliquez sur Add. Dans la liste déroulante, sélectionnez Add Dynamic NAT Rule.
Dans la fenêtre Add Dynamic NAT Rule, choisissez Outside comme interface, puis cliquez sur le bouton Browse en regard de la zone Source.
Dans la fenêtre Parcourir la source, sélectionnez les objets réseau appropriés et choisissez également la source sous la section Source sélectionnée, puis cliquez sur OK. Ici, l'objet réseau 192.168.1.0 est sélectionné.
Cliquez sur Gérer.
Dans la fenêtre Gérer le pool global, cliquez sur Ajouter.
Dans la fenêtre Add Global Address Pool, choisissez Inside comme interface et 2 comme ID de pool. Assurez-vous également que la case d'option en regard de PAT using IP Address de l'interface est sélectionnée. Cliquez sur Add>>, puis sur OK.
Cliquez sur OK après avoir sélectionné le pool global avec l'ID de pool 2 configuré à l'étape précédente.
Cliquez à présent sur Apply afin que la configuration soit appliquée à l'ASA.Ceci termine la configuration.
Exécution de Config sur le périphérique ASA |
---|
ciscoasa#show running-config : Saved ASA Version 8.0(3) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif Outside security-level 0 ip address 10.10.10.2 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.16.1.2 255.255.255.0 ! ! passwd 2KFQnbNIdI.2KYOU encrypted boot system disk0:/asa803-k8.bin ftp mode passive access-list inside_nat0_outbound extended permit ip any 192.168.1.0 255.255.255 0 pager lines 24 logging enable mtu Outside 1500 mtu inside 1500 ip local pool vpnpool 192.168.1.1-192.168.1.254 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-615.bin asdm history enable arp timeout 14400 nat-control global (Outside) 1 interface global (inside) 2 interface nat (Outside) 2 192.168.1.0 255.255.255.0 outside nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 route Outside 0.0.0.0 0.0.0.0 10.10.10.3 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable no snmp-server location no snmp-server contact !--- Configuration for IPsec policies. !--- Enables the crypto transform configuration mode, !--- where you can specify the transform sets that are used !--- during an IPsec negotiation. crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SH ESP-DES-MD5 crypto map Outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map Outside_map interface Outside crypto isakmp enable Outside !--- Configuration for IKE policies. !--- Enables the IKE policy configuration (config-isakmp) !--- command mode, where you can specify the parameters that !--- are used during an IKE negotiation. Encryption and !--- Policy details are hidden as the default values are chosen. crypto isakmp policy 10 authentication pre-share encryption des hash sha group 2 lifetime 86400 crypto isakmp policy 30 authentication pre-share encryption des hash md5 group 2 lifetime 86400 telnet timeout 5 ssh timeout 60 console timeout 0 management-access inside threat-detection basic-threat threat-detection statistics access-list group-policy cisco internal group-policy cisco attributes vpn-tunnel-protocol IPSec !--- Specifies the username and password with their !--- respective privilege levels username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15 username cisco password ffIRPGpDSOJh9YLq encrypted privilege 0 username cisco attributes vpn-group-policy cisco tunnel-group cisco type remote-access tunnel-group cisco general-attributes address-pool vpnpool default-group-policy cisco !--- Specifies the pre-shared key "cisco123" which must !--- be identical at both peers. This is a global !--- configuration mode command. tunnel-group cisco ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns migrated_dns_map_1 parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:f2ad6f9d5bf23810a26f5cb464e1fdf3 : end ciscoasa# |
Essayez de vous connecter à Cisco ASA via le client VPN Cisco afin de vérifier que l'ASA est correctement configuré.
Cliquez sur New.
Complétez les détails de votre nouvelle connexion.
Le champ Hôte doit contenir l'adresse IP ou le nom d'hôte du Cisco ASA précédemment configuré. Les informations d'authentification de groupe doivent correspondre à celles utilisées à l'étape 4. Cliquez sur Save lorsque vous avez terminé.
Sélectionnez la connexion de création récente, et cliquez sur Connect.
Saisissez un nom utilisateur et un mot de passe pour l'authentification étendue. Ces informations doivent correspondre à celles spécifiées aux étapes 5 et 6.
Une fois la connexion établie avec succès, choisissez Statistics dans le menu Status afin de vérifier les détails du tunnel.
Cette fenêtre montre les informations de trafic et de cryptage :
Cette fenêtre montre les informations de split tunneling :
show crypto isakmp sa — Affiche toutes les SA IKE en cours au niveau d'un homologue.
ASA#show crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 10.10.10.1 Type : user Role : responder Rekey : no State : AM_ACTIVE
show crypto ipsec sa — Affiche toutes les SA IPsec en cours au niveau d'un homologue.
ASA#show crypto ipsec sa interface: Outside Crypto map tag: SYSTEM_DEFAULT_CRYPTO_MAP, seq num: 65535, local addr: 10.10 .10.2 local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/0/0) current_peer: 10.10.10.1, username: cisco123 dynamic allocated peer ip: 192.168.1.1 #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20 #pkts decaps: 74, #pkts decrypt: 74, #pkts verify: 74 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 10.10.10.2, remote crypto endpt.: 10.10.10.1 path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: F49F954C inbound esp sas: spi: 0x3C10F9DD (1007745501) transform: esp-des esp-md5-hmac none in use settings ={RA, Tunnel, } slot: 0, conn_id: 24576, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP sa timing: remaining key lifetime (sec): 27255 IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0xF49F954C (4104099148) transform: esp-des esp-md5-hmac none in use settings ={RA, Tunnel, } slot: 0, conn_id: 24576, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP sa timing: remaining key lifetime (sec): 27255 IV size: 8 bytes replay detection support: Y
ciscoasa(config)#debug icmp trace !--- Inbound Nat Translation is shown below for Outside to Inside ICMP echo request translating Outside:192.168.1.1/768 to inside:172.16.1.2/1 ICMP echo reply from inside:172.16.1.3 to Outside:172.16.1.2 ID=1 seq=7936 len=3 2 !--- Inbound Nat Translation is shown below for Inside to Outside ICMP echo reply untranslating inside:172.16.1.2/1 to Outside:192.168.1.1/768 ICMP echo request from Outside:192.168.1.1 to inside:172.16.1.3 ID=768 seq=8192 len=32 ICMP echo request translating Outside:192.168.1.1/768 to inside:172.16.1.2/1 ICMP echo reply from inside:172.16.1.3 to Outside:172.16.1.2 ID=1 seq=8192 len=3 2 ICMP echo reply untranslating inside:172.16.1.2/1 to Outside:192.168.1.1/768 ICMP echo request from 192.168.1.1 to 172.16.1.2 ID=768 seq=8448 len=32 ICMP echo reply from 172.16.1.2 to 192.168.1.1 ID=768 seq=8448 len=32 ICMP echo request from 192.168.1.1 to 172.16.1.2 ID=768 seq=8704 len=32 ICMP echo reply from 172.16.1.2 to 192.168.1.1 ID=768 seq=8704 len=32 ICMP echo request from 192.168.1.1 to 172.16.1.2 ID=768 seq=8960 len=32 ICMP echo reply from 172.16.1.2 to 192.168.1.1 ID=768 seq=8960 len=32
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
Référez-vous à Solutions de dépannage VPN IPSec L2L et d'accès à distance les plus courantes pour plus d'informations sur la façon de dépanner le VPN de site à site.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
03-Jun-2010 |
Première publication |