Ce document décrit comment configurer l’appliance de sécurité adaptable (ASA) pour router le trafic VPN SSL via la passerelle tunnelisée par défaut (TDG). Lorsque vous créez une route par défaut avec l'option tunnel, tout le trafic d'un tunnel se terminant sur l'ASA qui ne peut pas être routé à l'aide de routes apprises ou statiques est envoyé à cette route. Pour le trafic sortant d'un tunnel, cette route remplace toute autre route par défaut configurée ou apprise.
Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :
ASA qui s'exécute sur la version 8.x
Client VPN SSL Cisco (SVC) 1.x
Remarque : Téléchargez le package client VPN SSL (sslclient-win*.pkg) à partir du téléchargement de logiciels Cisco (clients enregistrés uniquement). Copiez le SVC dans la mémoire flash de l'ASA. Le SVC doit être téléchargé sur les ordinateurs des utilisateurs distants afin d'établir la connexion VPN SSL avec l'ASA.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
ASA de la gamme Cisco 5500 qui exécute la version logicielle 8.x
Version du client VPN SSL Cisco pour Windows 1.1.4.179
PC exécutant Windows 2000 Professionnel ou Windows XP
Cisco Adaptive Security Device Manager (ASDM) version 6.1(5)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Le client VPN SSL (SVC) est une technologie de tunnellisation VPN qui offre aux utilisateurs distants les avantages d'un client VPN IPSec sans que les administrateurs réseau aient besoin d'installer et de configurer des clients VPN IPSec sur des ordinateurs distants. Le SVC utilise le chiffrement SSL qui est déjà présent sur l'ordinateur distant, ainsi que la connexion WebVPN et l'authentification de l'appliance de sécurité.
Dans le scénario actuel, un client VPN SSL se connecte aux ressources internes derrière l'ASA via le tunnel VPN SSL. Le split-tunnel n'est pas activé. Lorsque le client VPN SSL est connecté à l'ASA, toutes les données sont tunnellisées. Outre l'accès aux ressources internes, le principal critère est d'acheminer ce trafic tunnelisé via la passerelle tunnelée par défaut (DTG).
Vous pouvez définir une route par défaut distincte pour le trafic tunnelisé avec la route par défaut standard. Le trafic non chiffré reçu par l'ASA, pour lequel il n'existe aucune route statique ou apprise, est acheminé par la route par défaut standard. Le trafic crypté reçu par l'ASA, pour lequel il n'existe aucune route statique ou apprise, sera transmis au DTG défini par la route par défaut tunnelisée.
Afin de définir une route par défaut avec tunnel, utilisez cette commande :
route <if_name> 0.0.0.0 0.0.0.0 <gateway_ip> tunneled
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
Ce document utilise la configuration réseau suivante :
Dans cet exemple, le client VPN SSL accède au réseau interne de l'ASA via le tunnel. Le trafic destiné à des destinations autres que le réseau interne est également tunnelisé, car aucun tunnel partagé n’est configuré et est acheminé via le TDG (192.168.100.20).
Une fois que les paquets sont routés vers le TDG, qui est le routeur 2 dans ce cas, il effectue la traduction d'adresses pour acheminer ces paquets vers Internet. Pour plus d'informations sur la configuration d'un routeur en tant que passerelle Internet, référez-vous à Comment configurer un routeur Cisco derrière un modem câble non Cisco.
Ce document suppose que les configurations de base, telles que la configuration d'interface, sont complètes et fonctionnent correctement.
Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM pour plus d'informations sur la façon de permettre à l'ASA d'être configuré par l'ASDM.
Remarque : WebVPN et ASDM ne peuvent pas être activés sur la même interface ASA, sauf si vous modifiez les numéros de port. Référez-vous à ASDM et WebVPN activés sur la même interface d'ASA pour plus d'informations.
Complétez ces étapes afin de configurer le VPN SSL à l'aide de l'Assistant VPN SSL.
Dans le menu Assistants, sélectionnez Assistant VPN SSL.
Cochez la case Client VPN SSL Cisco, puis cliquez sur Suivant.
Entrez un nom pour la connexion dans le champ Nom de la connexion, puis choisissez l'interface utilisée par l'utilisateur pour accéder au VPN SSL dans la liste déroulante Interface VPN SSL.
Cliquez sur Next (Suivant).
Choisissez un mode d'authentification, puis cliquez sur Suivant. (Cet exemple utilise l'authentification locale.)
Créez une nouvelle stratégie de groupe autre que la stratégie de groupe par défaut existante.
Créez un nouveau pool d'adresses qui sera attribué aux PC clients VPN SSL une fois qu'ils seront connectés.
Un pool de plage 192.168.10.40-192.168.10.50 a été créé par le nom newpool.
Cliquez sur Parcourir afin de choisir et de télécharger l'image du client VPN SSL dans la mémoire flash de l'ASA.
Cliquez sur Upload afin de définir le chemin d'accès au fichier à partir du répertoire local de l'ordinateur.
Cliquez sur Parcourir les fichiers locaux afin de sélectionner le répertoire dans lequel le fichier sslclient.pkg existe.
Cliquez sur Upload File afin de télécharger le fichier sélectionné dans la mémoire flash d'ASA.
Une fois le fichier téléchargé sur la mémoire flash d'ASA, cliquez sur OK pour terminer cette tâche.
Il affiche maintenant le dernier fichier pkg anyconnect téléchargé sur la mémoire flash d'ASA. Cliquez sur Next (Suivant).
Le résumé de la configuration du client VPN SSL est affiché. Cliquez sur Terminer pour terminer l'Assistant.
La configuration présentée dans ASDM concerne principalement la configuration de l'assistant client VPN SSL.
Dans l'interface de ligne de commande, vous pouvez observer une configuration supplémentaire. La configuration complète de l'interface de ligne de commande est présentée ci-dessous et des commandes importantes ont été mises en surbrillance.
ciscosa |
---|
ciscoasa#show running-config : Saved : ASA Version 8.0(4) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 209.165.201.2 255.255.255.224 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.100.2 255.255.255.0 ! interface Ethernet0/2 nameif manage security-level 0 ip address 10.1.1.1 255.255.255.0 ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Ethernet0/4 shutdown no nameif no security-level no ip address ! interface Ethernet0/5 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list nonat extended permit ip 192.168.100.0 255.255.255.0 192.168.10.0 255.255.255.0 access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.100.0 255.255.255.0 !--- ACL to define the traffic to be exempted from NAT. no pager logging enable logging asdm informational mtu outside 1500 mtu inside 1500 mtu manage 1500 !--- Creating IP address block to be assigned for the VPN clients ip local pool newpool 192.168.10.40-192.168.10.50 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-615.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list nonat !--- The traffic permitted in "nonat" ACL is exempted from NAT. nat (inside) 1 192.168.100.0 255.255.255.0 route outside 0.0.0.0 0.0.0.0 209.165.201.1 1 !--- Default route is configured through "inside" interface for normal traffic. route inside 0.0.0.0 0.0.0.0 192.168.100.20 tunneled !--- Tunneled Default route is configured through "inside" interface for encrypted traffic ! timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable !--- Configuring the ASA as HTTP server. http 10.1.1.0 255.255.255.0 manage !--- Configuring the network to be allowed for ASDM access. ! !--- Output is suppressed ! telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global ! !--- Output suppressed ! webvpn enable outside !--- Enable WebVPN on the outside interface svc image disk0:/sslclient-win-1.1.4.179.pkg 1 !--- Assign the AnyConnect SSL VPN Client image to be used svc enable !--- Enable the ASA to download SVC images to remote computers group-policy grppolicy internal !--- Create an internal group policy "grppolicy" group-policy grppolicy attributes VPN-tunnel-protocol svc !--- Specify SSL as a permitted VPN tunneling protocol ! username cisco password ffIRPGpDSOJh9YLq encrypted privilege 15 !--- Create a user account "cisco" tunnel-group Test type remote-access !--- Create a tunnel group "Test" with type as remote access tunnel-group Test general-attributes address-pool newpool !--- Associate the address pool vpnpool created default-group-policy grppolicy !--- Associate the group policy "clientgroup" created prompt hostname context Cryptochecksum:1b247197c8ff70ee4432c13fb037854e : end ciscoasa# |
Les commandes indiquées dans cette section peuvent être utilisées pour vérifier cette configuration.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
show webvpn svc : affiche les images SVC stockées dans la mémoire flash ASA.
show vpn-sessiondb svc — Affiche les informations sur les connexions SSL actuelles.
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
18-Oct-2010 |
Première publication |