ASA/PIX: statische IP-adressering voor IPSec VPN-client met CLI en ASDM-configuratievoorbeeld

Downloadopties

PDF (788.6 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (756.4 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (1.4 MB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:23 februari 2009

Document-id:109639

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Verwante producten

Conventies

Configureren

Netwerkdiagram

Remote Access VPN (IPSec) configureren

ASA/PIX configureren via de opdrachtregelinterface

Cisco VPN-clientconfiguratie

Verifiëren

Opdrachten weergeven

Problemen oplossen

Wis security koppelingen

Opdrachten voor troubleshooting

Gerelateerde informatie

Inleiding

Dit document beschrijft hoe u de Cisco 5500 Series adaptieve security applicatie (ASA) moet configureren om het statische IP-adres aan de VPN-client te leveren met de Adaptieve Security Device Manager (ASDM) of CLI. De ASDM levert beveiligingsbeheer en -bewaking van wereldklasse via een intuïtieve, gebruiksvriendelijke webgebaseerde beheerinterface. Nadat de Cisco ASA-configuratie is voltooid, kan deze worden geverifieerd met de Cisco VPN-client.

Raadpleeg PIX/ASA 7.x en Cisco VPN Client 4.x met Windows 2003 IAS RADIUS (Against Active Directory) Verificatievoorbeeld om de externe VPN-verbinding tussen een Cisco VPN-client (4.x voor Windows) en de PIX 500 Series security applicatie 7.x in te stellen. De externe VPN-clientgebruiker verifieert via de Active Directory met een Microsoft Windows 2003 Internet Verification Service (IAS) RADIUS-server.

Raadpleeg PIX/ASA 7.x en Cisco VPN Client 4.x voor Cisco Secure ACS-verificatie - configuratievoorbeeld om een VPN-verbinding voor externe toegang tussen een Cisco VPN-client (4.x voor Windows) en de PIX 500 Series security applicatie 7.x met een Cisco Secure Access Control Server (ACS versie 3.2) voor uitgebreide verificatie (Xauth) in te stellen.

Voorwaarden

Vereisten

Dit document gaat ervan uit dat de ASA volledig operationeel is en geconfigureerd om Cisco ASDM of CLI in staat te stellen configuratiewijzigingen door te voeren.

Opmerking: Raadpleeg Toestaan van HTTPS-toegang voor ASDM of PIX/ASA 7.x: SSH in het configuratievoorbeeld van de binnen- en buitenkant-interface om het apparaat op afstand te kunnen configureren door de ASDM of Secure Shell (SSH).

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Software voor Cisco adaptieve security applicatie versie 7.x en hoger
Adaptieve Security Device Manager versie 5.x en hoger
Cisco VPN-clientversie 4.x en hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

Deze configuratie kan ook worden gebruikt met Cisco PIX security applicatie versie 7.x en hoger.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Command Lookup Tool (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Het zijn RFC 1918-adressen, die werden gebruikt in een laboratoriumomgeving.

Remote Access VPN (IPSec) configureren

ASDM-procedure

Voltooi deze stappen om de externe toegang VPN te configureren:

Kies Configuratie > Externe toegang VPN > Netwerktoegang (client) > Geavanceerd > IPSec > IKE-beleid > Toevoegen om een ISAKMP-beleid te maken.
Verstrek de ISAKMP-beleidsdetails.

Klik op OK en pas toe.
Kies Configuratie > Externe toegang VPN > Netwerktoegang (client) > Geavanceerd > IPSec > IKE-parameters om IKE in te schakelen op de buiteninterface.
Kies Configuratie > Externe toegang VPN > Netwerktoegang (client) > Geavanceerd > IPSec > IPSec Transform Sets > Add om de ESP-DES-SHA transformatieset te maken, zoals getoond.

Klik op OK en pas toe.
Kies Configuratie > Externe toegang VPN > Netwerktoegang (client) > Geavanceerd > IPSec > Crypto Maps > Toevoegen om een cryptokaart te maken met dynamisch beleid van prioriteit 1, zoals getoond.

Klik op OK en pas toe.
Kies Configuratie > Externe toegang VPN > AAA-instelling > Lokale gebruikers > Toevoegen om de gebruikersaccount aan te maken (bijvoorbeeld gebruikersnaam - cisco123 en Wachtwoord - cisco123) voor VPN-clienttoegang.
Ga als volgt naar VPN Policy en voeg het Statische/Speciale IP-adres voor gebruiker "cisco123" toe.
Kies Configuratie > Externe toegang VPN > Netwerktoegang (client) > Adrestoewijzing > Adrespools en klik op Toevoegen om de VPN-client voor VPN-clientgebruikers toe te voegen.
Kies Configuratie > Externe toegang VPN > Toegang tot netwerk (client) > IPsec-verbindingsprofielen > Toevoegen om een tunnelgroep toe te voegen (bijvoorbeeld Tunnel Group1 en de sleutel Preshared als cisco123), zoals getoond.
- Kies onder het tabblad Basis de servergroep als LOKAAL voor het veld Gebruikersverificatie.
- Kies vpnclient1 als de clientadrespools voor de VPN-clientgebruikers.
Klik op OK.
Kies Geavanceerd > Clientadressering en controleer het aanvinkvakje Adresgroep gebruiken om het IP-adres aan de VPN-clients toe te wijzen.

Opmerking: Schakel de selectievakjes Verificatieserver gebruiken en DHCP gebruiken uit.

Klik op OK.
Schakel de buitenkant van de interface voor IPSec Access in. Klik op Toepassen om verder te gaan.

ASA/PIX configureren via de opdrachtregelinterface

Voltooi deze stappen om de DHCP-server te configureren om IP-adressen via de opdrachtregel aan de VPN-clients te leveren. Raadpleeg Remote Access VPN’s configureren of Cisco ASA 5500 Series adaptieve security applicaties-commando referenties voor meer informatie over elke opdracht die wordt gebruikt.

Configuratie op het ASA-apparaat uitvoeren
ASA# sh run ASA Version 8.0(2) ! !--- Specify the hostname for the Security Appliance. hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted names ! !--- Configure the outside and inside interfaces. interface Ethernet0/0 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! interface Ethernet0/1 nameif outside security-level 0 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/2 nameif DMZ security-level 50 ip address 192.168.10.2 255.255.255.0 !--- Output is suppressed. passwd 2KFQnbNIdI.2KYOU encrypted boot system disk0:/asa802-k8.bin ftp mode passive access-list 101 extended permit ip 10.1.1.0 255.255.255.0 192.168.5.0 255.255.255.0 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 mtu dmz 1500 ip local pool vpnclient1 192.168.5.10-192.168.5.100 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 !--- Specify the location of the ASDM image for ASA to fetch the image for ASDM access. asdm image disk0:/asdm-613.bin no asdm history enable arp timeout 14400 global (outside) 1 192.168.1.5 nat (inside) 0 access-list 101 nat (inside) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 192.168.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto dynamic-map outside_dyn_map 1 set transform-set ESP-DES-SHA crypto map outside_map 1 ipsec-isakmp dynamic outside_dyn_map !--- Specifies the interface to be used with !--- the settings defined in this configuration. crypto map outside_map interface outside !--- PHASE 1 CONFIGURATION ---! !--- This configuration uses ISAKMP policy 2. !--- The configuration commands here define the Phase !--- 1 policy parameters that are used. crypto isakmp enable outside crypto isakmp policy 2 authentication pre-share encryption des hash sha group 2 lifetime 86400 no crypto isakmp nat-traversal !--- Specifies that the IP address to the vpn clients are assigned by the local and not by AAA or dhcp. The CLI vpn-addr-assign local for VPN address assignment through ASA is hidden in the CLI provided by show run command. no vpn-addr-assign aaa no vpn-addr-assign dhcp telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global ! group-policy DfltGrpPolicy attributes vpn-tunnel-protocol IPSec webvpn group-policy GroupPolicy1 internal !--- In order to identify remote access users to the Security Appliance, !--- you can also configure usernames and passwords on the device. !--- specify the IP address to assign to a particular user, use the vpn-framed-ip-address command !--- in username mode username cisco123 password ffIRPGpDSOJh9YLq encrypted username cisco123 attributes vpn-framed-ip-address 192.168.5.1 255.255.255.0 !--- Create a new tunnel group and set the connection !--- type to remote-access. tunnel-group TunnelGroup1 type remote-access tunnel-group TunnelGroup1 general-attributes address-pool vpnclient1 !--- Enter the pre-shared-key to configure the authentication method. tunnel-group TunnelGroup1 ipsec-attributes pre-shared-key * prompt hostname context Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d : end ASA#

Configuratie op het ASA-apparaat uitvoeren

ASA# sh run
ASA Version 8.0(2)
!

!--- Specify the hostname for the Security Appliance.

hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!


!--- Configure the outside and inside interfaces.

interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/2
 nameif DMZ
 security-level 50
 ip address 192.168.10.2 255.255.255.0


!--- Output is suppressed.


passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive

access-list 101 extended permit ip 10.1.1.0 255.255.255.0 
192.168.5.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500

ip local pool vpnclient1 192.168.5.10-192.168.5.100 mask 255.255.255.0

no failover
icmp unreachable rate-limit 1 burst-size 1


!--- Specify the location of the ASDM image for ASA to fetch the image for ASDM access.

asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400

global (outside) 1 192.168.1.5
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto dynamic-map outside_dyn_map 1 set transform-set ESP-DES-SHA
crypto map outside_map 1 ipsec-isakmp dynamic outside_dyn_map


!--- Specifies the interface to be used with !--- the settings defined in this configuration.

crypto map outside_map interface outside


!--- PHASE 1 CONFIGURATION ---! !--- This configuration uses ISAKMP policy 2. !--- The configuration commands here define the Phase !--- 1 policy parameters that are used.

crypto isakmp enable outside

crypto isakmp policy 2
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400

no crypto isakmp nat-traversal


!--- Specifies that the IP address to the vpn clients are assigned by the local and not by AAA or dhcp. The CLI vpn-addr-assign local for VPN address assignment through ASA is hidden in the CLI provided by show run command. 

no vpn-addr-assign aaa
no vpn-addr-assign dhcp

telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
!
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol IPSec webvpn
group-policy GroupPolicy1 internal


!--- In order to identify remote access users to the Security Appliance, !--- you can also configure usernames and passwords on the device. !--- specify the IP address to assign to a particular user, use the vpn-framed-ip-address command !--- in username mode 

username cisco123 password ffIRPGpDSOJh9YLq encrypted
username cisco123 attributes
  vpn-framed-ip-address 192.168.5.1 255.255.255.0

!--- Create a new tunnel group and set the connection !--- type to remote-access.

tunnel-group TunnelGroup1 type remote-access
tunnel-group TunnelGroup1 general-attributes
 address-pool vpnclient1


!--- Enter the pre-shared-key to configure the authentication method.

tunnel-group TunnelGroup1 ipsec-attributes
 pre-shared-key *

prompt hostname context
Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d
: end
ASA#

Cisco VPN-clientconfiguratie

Probeer met Cisco ASA verbinding te maken met de Cisco VPN-client om te verifiëren dat de ASA succesvol is geconfigureerd.

Kies Start > Programma's > Cisco Systems VPN-client > VPN-client.
Klik op Nieuw om het venster Nieuwe VPN-verbinding maken te starten.
Vul de details van uw nieuwe verbinding in.

Voer de naam van de Connection Entry samen met een beschrijving in. Voer in het vak Host het buitenste IP-adres van de ASA in. Voer vervolgens de naam van de VPN-tunnelgroep (Tunnel Group1) en het wachtwoord (Pre-Shared Key - cisco123) in zoals deze in ASA zijn geconfigureerd. Klik op Save (Opslaan).
Klik op de verbinding die u wilt gebruiken en klik op Verbinden vanuit het hoofdvenster van de VPN-client.
Voer, wanneer hierom wordt gevraagd, de gebruikersnaam: cisco123 en het wachtwoord: cisco123 in zoals deze in de ASA voor Xauth zijn ingesteld en klik op OK om verbinding te maken met het externe netwerk.
De VPN-client is op de centrale locatie verbonden met de ASA.
Zodra de verbinding met succes tot stand is gebracht, kiest u Statistieken in het menu Status om de details van de tunnel te verifiëren.

Verifiëren

Opdrachten weergeven

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

toon crypto isakmp sa—Toont alle huidige IKE Security Associations (SA’s) aan een peer.
toon crypto ipsec sa—Toont de instellingen die door de huidige SA's worden gebruikt.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen. De voorbeelddebug-uitvoer wordt ook weergegeven.

Opmerking: Voor meer informatie over het oplossen van problemen met externe toegang verwijst IPSec VPN naar de meest gebruikelijke oplossingen voor probleemoplossing met L2L en externe toegang tot IPSec VPN.

Wis security koppelingen

Wanneer u problemen oplossen, zorg ervoor om bestaande Security Associaties te wissen nadat u een wijziging hebt gemaakt. Gebruik in de geprivilegieerde modus van de PIX deze opdrachten:

wis [crypto] ipsec sa-verwijdert de actieve IPSec SA's. Het sleutelwoord crypto is optioneel.
clear [crypto] isakmp sa—Verwijdert de actieve IKE SA's. Het sleutelwoord crypto is optioneel.

Opdrachten voor troubleshooting

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

Opmerking: raadpleeg Belangrijke informatie over debug-opdrachten voordat u debug-opdrachten gebruikt.