IPsec tussen een VPN 3000 Concentrator en een VPN-client 4.x voor Windows met RADIUS voor gebruikersverificatie en -accounting

Inleiding

Dit document beschrijft hoe u een IPsec-tunnel kunt creëren tussen een Cisco VPN 3000 Concentrator en een Cisco VPN-client 4.x voor Microsoft Windows die RADIUS gebruikt voor gebruikersverificatie en -accounting. Dit document raadt Cisco Secure Access Control Server (ACS) aan voor Windows voor een makkelijke RADIUS-configuratie om gebruikers te authentiseren die verbinding maken met een VPN 3000 Concentrator. Een groep op een VPN 3000 Concentrator is een verzameling gebruikers die als één entiteit worden behandeld. De configuratie van groepen in tegenstelling tot individuele gebruikers kan het systeembeheer vereenvoudigen en de configuratie van taken stroomlijnen.

Raadpleeg PIX/ASA 7.x en Cisco VPN-client 4.x voor Windows met Microsoft Windows 2003 IAS RADIUS-verificatievoorbeeld voor het instellen van de VPN-verbinding voor externe toegang tussen een Cisco VPN-client (4.x voor Windows) en de PIX 500 Series security applicatie 7.x die gebruik maakt van een Microsoft Windows 2003 Internet Accounting Service (IAS) RADIUS-server .

Raadpleeg IPsec configureren tussen een Cisco IOS-router en een Cisco VPN-client 4.x voor Windows Gebruik van RADIUS voor gebruikersverificatie om een verbinding te configureren tussen een router en Cisco VPN-client 4.x die RADIUS gebruikt voor gebruikersverificatie.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco Secure ACS voor Windows RADIUS is geïnstalleerd en werkt correct met andere apparaten.

• De Cisco VPN 3000 Concentrator wordt geconfigureerd en kan worden beheerd met de HTML-interface.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco Secure ACS voor Windows met versie 4.0

• Cisco VPN 3000 Series Concentrator met beeldbestand 4.7.2.B

• Cisco VPN-client 4.x

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Opmerking: de IP-adresseringsschema's die in deze configuratie worden gebruikt, zijn niet wettelijk routeerbaar op het internet. Het zijn RFC 1918 adressen die in een labomgeving gebruikt zijn.

Gebruik groepen in de VPN-Concentrator 3000

Groepen kunnen worden gedefinieerd voor Cisco Secure ACS voor Windows en de VPN 3000 Concentrator, maar ze gebruiken groepen op een verschillende manier. Voer deze taken uit om de zaken te vereenvoudigen:

• Configuratie één enkele groep op de VPN 3000 Concentrator voor wanneer u de aanvankelijke tunnel opstelt. Dit wordt vaak de Tunnel Groep genoemd en wordt gebruikt om een gecodeerde Toets Exchange (IKE)-sessie aan de VPN 3000 Concentrator op te zetten met behulp van een vooraf gedeelde toets (het groepswachtwoord). Dit is dezelfde groepsnaam en hetzelfde wachtwoord dat op alle Cisco VPN-clients moet worden ingesteld die met de VPN-centrator willen verbinden.

• Configureer groepen op de Cisco Secure ACS voor Windows-server die de standaard RADIUS-kenmerken en leverancierspecifieke kenmerken (VSA’s) gebruiken voor beleidsbeheer. De VSA's die met de VPN 3000 Concentrator zouden moeten worden gebruikt zijn de RADIUS (VPN 3000) eigenschappen.

• Configureer gebruikers op de Cisco Secure ACS voor Windows RADIUS-server en wijs ze toe aan een van de groepen die op dezelfde server zijn geconfigureerd. De gebruikers erven eigenschappen die voor hun groep worden gedefinieerd en Cisco Secure ACS voor Windows versturen die eigenschappen naar VPN Concentrator wanneer de gebruiker voor authentiek is verklaard.

Hoe de VPN 3000 Concentrator groep en gebruikerskenmerken gebruikt

Nadat de VPN 3000 Concentrator de Tunnel Group met de VPN Concentrator en de gebruiker met RADIUS voor authentiek heeft verklaard, moet deze de eigenschappen organiseren die hij heeft ontvangen. De VPN Concentrator gebruikt de eigenschappen in deze volgorde van voorkeur, of de authenticatie plaatsvindt in de VPN-centrator of met RADIUS:

1. Eigenschappen—Deze eigenschappen hebben altijd voorrang op enige andere eigenschappen.

2. Eigenschappen van de Tunnelgroep-Om het even welke eigenschappen die niet werden teruggegeven toen de gebruiker echt werd bevonden worden ingevuld door de eigenschappen van de Tunnelgroep.

3. Eigenschappen van de Base Group—Alle eigenschappen die ontbreken van de eigenschappen van de gebruiker of de Tunnelgroep worden ingevuld door de eigenschappen van de Base Group van VPN Concentrator.

VPN 3000 Series Concentrator-configuratie

Voltooi de procedure in dit gedeelte om een Cisco VPN 3000 Concentrator te configureren voor de parameters die vereist zijn voor de IPsec-verbinding en de AAA-client voor de VPN-gebruiker om te authenticeren met de RADIUS-server.

In deze lab-instelling wordt eerst VPN Concentrator benaderd via de console poort en wordt een minimale configuratie toegevoegd zoals deze uitvoer toont:

Login: admin

!--- The password must be "admin".

Password:*****

                Welcome to
               Cisco Systems
       VPN 3000 Concentrator Series
          Command Line Interface
Copyright (C) 1998-2005 Cisco Systems, Inc.

1) Configuration
2) Administration
3) Monitoring
4) Save changes to Config file
5) Help Information
6) Exit

Main -> 1

1) Interface Configuration
2) System Management
3) User Management
4) Policy Management
5) Tunneling and Security
6) Back

Config -> 1

This table shows current IP addresses.

  Intf         Status       IP Address/Subnet Mask          MAC Address
-------------------------------------------------------------------------------
Ether1-Pri|       DOWN   |       10.1.1.1/255.255.255.0  | 00.03.A0.89.BF.D0
Ether2-Pub|Not Configured|        0.0.0.0/0.0.0.0        |
Ether3-Ext|Not Configured|        0.0.0.0/0.0.0.0        |
-------------------------------------------------------------------------------
DNS Server(s): DNS Server Not Configured
DNS Domain Name:
Default Gateway: Default Gateway Not Configured

1) Configure Ethernet #1 (Private)
2) Configure Ethernet #2 (Public)
3) Configure Ethernet #3 (External)
4) Configure Power Supplies
5) Back

Interfaces -> 1

1) Interface Setting (Disable, DHCP or Static IP)
2) Set Public Interface
3) Select IP Filter
4) Select Ethernet Speed
5) Select Duplex
6) Set MTU
7) Set Port Routing Config
8) Set Bandwidth Management
9) Set Public Interface IPSec Fragmentation Policy
10) Set Interface WebVPN Parameters
11) Back

Ethernet Interface 1 -> 1

1) Disable
2) Enable using DHCP Client
3) Enable using Static IP Addressing

Ethernet Interface 1 -> [ ] 3

This table shows current IP addresses.

  Intf         Status       IP Address/Subnet Mask          MAC Address
-------------------------------------------------------------------------------
Ether1-Pri|       DOWN   |       10.1.1.1/255.255.255.0  | 00.03.A0.89.BF.D0
Ether2-Pub|Not Configured|        0.0.0.0/0.0.0.0        |
Ether3-Ext|Not Configured|        0.0.0.0/0.0.0.0        |
-------------------------------------------------------------------------------
DNS Server(s): DNS Server Not Configured
DNS Domain Name:
Default Gateway: Default Gateway Not Configured

> Enter IP Address

Ethernet Interface 1 -> [ 10.1.1.1 ] 172.16.124.1


20 02/14/2007 09:50:18.830 SEV=3 IP/2 RPT=3
IP Interface 1 status changed to Link Down.

21 02/14/2007 09:50:18.830 SEV=3 IP/1 RPT=3
IP Interface 1 status changed to Link Up.

22 02/14/2007 09:50:18.950 SEV=3 IP/1 RPT=4
IP Interface 1 status changed to Link Up.
> Enter Subnet Mask

23 02/14/2007 09:50:19.460 SEV=3 IP/2 RPT=4
IP Interface 1 status changed to Link Down.

Ethernet Interface 1 -> [ 255.255.255.0 ]

1) Interface Setting (Disable, DHCP or Static IP)
2) Set Public Interface
3) Select IP Filter
4) Select Ethernet Speed
5) Select Duplex
6) Set MTU
7) Set Port Routing Config
8) Set Bandwidth Management
9) Set Public Interface IPSec Fragmentation Policy
10) Set Interface WebVPN Parameters
11) Back

Ethernet Interface 1 -> 11

This table shows current IP addresses.

  Intf         Status       IP Address/Subnet Mask          MAC Address
-------------------------------------------------------------------------------
Ether1-Pri|       Up     |   172.16.124.1/255.255.255.0  | 00.03.A0.89.BF.D0
Ether2-Pub|Not Configured|        0.0.0.0/0.0.0.0        |
Ether3-Ext|Not Configured|        0.0.0.0/0.0.0.0        |
-------------------------------------------------------------------------------
DNS Server(s): DNS Server Not Configured
DNS Domain Name:
Default Gateway: Default Gateway Not Configured

1) Configure Ethernet #1 (Private)
2) Configure Ethernet #2 (Public)
3) Configure Ethernet #3 (External)
4) Configure Power Supplies
5) Back

Interfaces ->

De VPN Concentrator verschijnt in Quick Configuration en deze items worden ingesteld.

• Tijd/datum

• Interfaces/maskers in configuratie > Interfaces (publiek=10.0.0.1/24, privé=172.16.124.1/24)

• Standaard gateway in configuratie > Systeem > IP-routing > Default_Gateway (10.0.0.2)

Op dit punt is de VPN Concentrator toegankelijk via HTML van het binnennetwerk.

N.B.: Als de VPN Concentrator van buiten wordt beheerd, voert u ook deze stappen uit:

1. Kies Configuratie > 1-interfaces > 2-openbare > 4-Selecteer IP-filter > 1. Private (standaard).

2. Kies Beheer > 7-toegangsrechten > 2-toegangscontrolelijst > 1-Add Manager Workstation om het IP-adres van de externe manager toe te voegen.

Deze stappen zijn alleen vereist als u de VPN-centrator van buiten beheert.

Nadat u deze twee stappen hebt voltooid, kan de rest van de configuratie door de GUI worden uitgevoerd door gebruik te maken van een webbrowser en een verbinding te maken met de IP van de interface die u zojuist hebt ingesteld. In dit voorbeeld en op dit punt, is de VPN Concentrator toegankelijk door HTML van het binnennetwerk:

1. Kies Configuration > Interfaces om de interfaces opnieuw te controleren nadat u de GUI hebt opgeroepen.

   

2. Voltooi deze stappen om Cisco Secure ACS voor Windows RADIUS-server toe te voegen aan de VPN 3000 Concentrator-configuratie.

   1. Kies Configuratie > Systeem > Server > Verificatie en klik op Toevoegen in het linkermenu.

      

   2. Kies het servertype RADIUS en voeg deze parameters toe voor uw Cisco Secure ACS voor Windows RADIUS-server. Laat alle andere parameters in hun standaard toestand staan.

      • Verificatieserver-Voer het IP-adres in van uw Cisco Secure ACS voor Windows RADIUS-server.

      • Beveiliging van de server: Voer het RADIUS-servergeheim in. Dit moet het zelfde geheim zijn dat u gebruikt wanneer u de VPN 3000 Concentrator in Cisco Secure ACS voor de configuratie van Windows vormt.

      • Controleer - voer het wachtwoord opnieuw in ter verificatie.

        Dit voegt de authenticatieserver toe in de mondiale configuratie van de VPN 3000 Concentrator. Deze server wordt gebruikt door alle groepen behalve wanneer een authenticatieserver specifiek is gedefinieerd. Als een authenticatieserver niet voor een groep is ingesteld, keert deze terug naar de globale authenticatieserver.

3. Voltooi deze stappen om de tunnelgroep op de VPN 3000-centrator te configureren.

   1. Kies Configuratie > Gebruikersbeheer > Groepen in het linkermenu en klik op Toevoegen.

   2. Wijzig deze parameters in de tabbladen Configuration of voeg deze toe. Klik niet op Toepassen totdat u al deze parameters wijzigt:

      Opmerking: deze parameters zijn minimaal nodig voor VPN-verbindingen met externe toegang. Deze parameters veronderstellen ook de standaardinstellingen in de Base Group op de VPN 3000 Concentrator zijn niet gewijzigd.

      Identiteit

      

      • groepsnaam - Typ een groepsnaam. IPsec-gebruikers bijvoorbeeld.

      • Wachtwoord - Voer een wachtwoord in voor de groep. Dit is de vooraf gedeelde sleutel voor de IKE-sessie.

      • Controleer - voer het wachtwoord opnieuw in ter verificatie.

      • Type - Laat dit standaard als volgt achter: Intern.

      IPsec

      

      • Tunneltype - Kies afstandsbediening.

      • Verificatie-RADIUS. Dit vertelt de VPN Concentrator welke methode je moet gebruiken om gebruikers voor authentiek te verklaren.

      • Modus configuratie—Controleer mode configuratie.

   3. Klik op Apply (Toepassen).

4. Voltooi deze stappen om meerdere verificatieservers te configureren op de VPN 3000-centrator.

   1. Zodra de groep is gedefinieerd, markeer deze groep en klik op Verificatieservers onder de kolom Wijzigen. Individuele verificatieservers kunnen voor elke groep worden gedefinieerd, zelfs indien deze servers niet in de mondiale servers bestaan.

      

   2. Kies het servertype RADIUS en voeg deze parameters toe voor uw Cisco Secure ACS voor Windows RADIUS-server. Laat alle andere parameters in hun standaard toestand staan.

      • Verificatieserver-Voer het IP-adres in van uw Cisco Secure ACS voor Windows RADIUS-server.

      • Beveiliging van de server: Voer het RADIUS-servergeheim in. Dit moet het zelfde geheim zijn dat u gebruikt wanneer u de VPN 3000 Concentrator in Cisco Secure ACS voor de configuratie van Windows vormt.

      • Controleer - voer het wachtwoord opnieuw in ter verificatie.

5. Kies Configuratie > Systeem > Adres Management > Toewijzing en controleer het Adres van de Verificatieserver om het IP-adres aan de VPN-clients toe te wijzen vanuit de IP-pool die in de RADIUS-server is gemaakt, zodra de client geauthentificeerd is.

   

Configuratie van RADIUS-servers

Dit deel van het document beschrijft de procedure die vereist is om Cisco Secure ACS als een RADIUS-server voor VPN-clientverificatie te configureren die door Cisco VPN 3000 Series Concentrator - AAA-client wordt doorgestuurd.

Dubbelklik op het pictogram ACS Admin om de beheersessie op de PC te starten die de Cisco Secure ACS voor Windows RADIUS-server draait. Meld u indien nodig aan met de juiste gebruikersnaam en het juiste wachtwoord.

1. Voltooi deze stappen om de VPN 3000 Concentrator aan Cisco Secure ACS voor Windows serverconfiguratie toe te voegen.

   1. Kies Network Configuration en klik op Add Entry om een AAA-client aan de RADIUS-server toe te voegen.

      

      Voeg deze parameters toe voor uw VPN 3000 Concentrator:

      

      • AAA-clientnaam - Voer de hostnaam van uw VPN 3000-centrator in (voor DNS-resolutie).

      • AAA client-IP-adres Voer het IP-adres van uw VPN-Concentrator 3000 in.

      • Belangrijk - Voer het RADIUS-servergeheim in. Dit moet hetzelfde geheim zijn dat u hebt ingesteld wanneer u de verificatieserver in de VPN-centrator hebt toegevoegd.

      • Verifieer het gebruik-Kies RADIUS (Cisco VPN 3000/ASA/PIX 7.x+). Hiermee kunnen VPN 3000 VSA's in het venster voor groepsconfiguratie worden weergegeven.

   2. Klik op Inzenden.

   3. Kies interfaceconfiguratie, klik op RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) en controleer groep [26] leverancierspecifieke.

      

      Opmerking: 'RADIUS-kenmerk 26' heeft betrekking op alle specifieke eigenschappen van de verkoper. Kies bijvoorbeeld Interface Configuration > RADIUS (Cisco VPN 3000) en zie dat alle beschikbare eigenschappen beginnen met 206. Dit toont aan dat al deze verkoper-specifieke eigenschappen vallen onder de IETF RADIUS 26-standaard. Deze eigenschappen worden standaard niet weergegeven in door gebruiker of groep ingestelde instellingen. Om in de instelling van de Groep te verschijnen, kunt u een AAA-client maken (in dit geval VPN 3000 Concentrator) die voor authentiek is met RADIUS in de netwerkconfiguratie. Controleer vervolgens de eigenschappen die in de Instellingen gebruiker, Groepsinstelling of beide bij de interfaceconfiguratie moeten worden weergegeven.

      Raadpleeg RADIUS-kenmerken voor meer informatie over de beschikbare kenmerken en de manier waarop ze worden gebruikt.

   4. Klik op Inzenden.

2. Voltooi deze stappen om groepen aan de Cisco Secure ACS voor Windows-configuratie toe te voegen.

   1. Kies Groepsinstelling, selecteer vervolgens een van de sjabloongroepen, bijvoorbeeld groep 1, en klik op Hernoemen.

      

      Verander de naam naar iets dat geschikt is voor uw organisatie. Bijvoorbeeld een deelgroep. Aangezien gebruikers aan deze groepen worden toegevoegd, maak de groepsnaam een weerspiegeling van het eigenlijke doel van die groep. Als alle gebruikers in dezelfde groep worden geplaatst, kunt u de VPN-gebruikersgroep bellen.

   2. Klik op Instellingen bewerken om de parameters te bewerken in de nieuwe groep.

      

   3. Klik op Cisco VPN 3000 RADIUS en stel deze aanbevolen eigenschappen in. Dit staat gebruikers toe die aan deze groep worden toegewezen om de eigenschappen van Cisco VPN 3000 RADIUS te erven, die u staat om beleid voor alle gebruikers in Cisco Secure ACS voor Windows te centraliseren.

      

      Opmerking: Technisch gezien hoeven VPN 3000 RADIUS-kenmerken niet te worden geconfigureerd zolang de Tunnelgroep is ingesteld in stap 3 van de VPN 3000 Series Concentrator-configuratie en de Base Group in VPN Concentrator verandert niet van de oorspronkelijke standaardinstellingen.

      Aanbevolen VPN 3000-kenmerken:

      • Primair-DNS-Voer het IP-adres van uw primaire DNS-server in.

      • Secundair-DNS-Voer het IP-adres van uw secundaire DNS-server in.

      • Primaire WINS-Voer het IP-adres in van de primaire WINS-server.

      • Secundaire WINS - Voer het IP-adres van de Secundaire WINS-server in.

      • Tunneling-protocollen—Kies IPsec. Dit staat alleen IPsec client verbindingen toe. PPTP of L2TP zijn niet toegestaan.

      • IPsec-Sec-Association—Voer ESP-3DES-MD5 in. Dit garandeert dat al uw IPsec-clients worden aangesloten op de hoogste beschikbare encryptie.

      • IPsec-toestaan-Wachtwoord-opslaan-kiezen Onthouden zodat gebruikers hun wachtwoord niet in de VPN-client mogen opslaan.

      • IPsec-banner-Voer een welkome berichtbanner in die bij verbinding aan de gebruiker moet worden aangeboden. Bijvoorbeeld, "Welkom bij MyCompany werknemer VPN toegang!"

      • IPsec-standaard-domein - Voer de domeinnaam van uw bedrijf in. Bijvoorbeeld "mycompany.com".

      Deze reeks eigenschappen is niet nodig. Maar als u niet zeker bent of de eigenschappen van de Base Group van de VPN 3000 Concentrator zijn gewijzigd, raadt Cisco u aan deze eigenschappen te configureren:

      • Gelijktijdig registreren - Voer het aantal keer in dat u een gebruiker toestaat om tegelijkertijd in te loggen met dezelfde gebruikersnaam. De aanbeveling is 1 of 2.

      • SEP-kaart-toewijzing - Kies Any-SEP.

      • IPsec-mode-configuratie—Kies ON.

      • IPsec over UDP-Kies OFF, tenzij u wilt dat gebruikers in deze groep een verbinding maken met IPsec via het UDP-protocol. Als u ON selecteert, heeft de VPN-client nog de mogelijkheid om IPsec lokaal uit te schakelen via UDP en normaal te verbinden.

      • IPsec over UDP Port-Selecteer een UDP-poortnummer in het bereik van 4001 tot en met 4915. Dit wordt alleen gebruikt als IPsec over UDP is ingeschakeld.

      De volgende reeks eigenschappen vereist dat u eerst iets op de VPN Concentrator instelt voordat u ze kunt gebruiken. Dit wordt alleen aanbevolen voor geavanceerde gebruikers.

      • Access-uren - Dit vereist dat u een verscheidenheid aan toegangsuren op de VPN 3000 Concentrator instelt onder Configuratie > Beleidsbeheer. Gebruik in plaats daarvan de uren van de Toegang die in Cisco Secure ACS voor Windows beschikbaar zijn om deze eigenschap te beheren.

      • IPsec-splitter-tunnellijst - Dit vereist dat u een netwerklijst op de VPN-Concentrator instelt onder Configuration > Policy Management > Traffic Management. Dit is een lijst van netwerken die naar de client worden verstuurd die de client vertellen om gegevens te versleutelen naar alleen die netwerken in de lijst.

   4. Kies IP-toewijzing in groepsinstellingen en controleer Toegewezen op AAA server Pool om de IP-adressen aan VPN-clientgebruikers toe te wijzen wanneer ze echt zijn bevonden.

      

      Kies de systeemconfiguratie > IP-pools om een IP-pool voor VPN-clientgebruikers te maken en klik op Indienen.

      

      

   5. Kies Indienen > Opnieuw beginnen om de configuratie op te slaan en de nieuwe groep te activeren.

   6. Herhaal deze stappen om meer groepen toe te voegen.

3. Configureer gebruikers op Cisco Secure ACS voor Windows.

   1. Klik op Gebruikersinstelling, voer een gebruikersnaam in en klik op Toevoegen/Bewerken.

      

   2. Configureer deze parameters in het vak gebruikersinstelling:

      

      • Wachtwoordverificatie - Kies ACS interne database.

      • Cisco Secure PP - Wachtwoord - Voer een wachtwoord in voor de gebruiker.

      • Cisco Secure PP - Wachtwoord bevestigen - voer het wachtwoord voor de nieuwe gebruiker opnieuw in.

      • Groep waaraan de gebruiker is toegewezen - Selecteer de naam van de groep die u in de vorige stap hebt gemaakt.

   3. Klik op Inzenden om de gebruikersinstellingen op te slaan en te activeren.

   4. Herhaal deze stappen om extra gebruikers toe te voegen.

Een statisch IP-adres aan de VPN-clientgebruiker toewijzen

Voer de volgende stappen uit:

1. Maak een nieuwe VPN-groep IPSECGRP.

2. Maak een gebruiker die het statische IP wil ontvangen en kies IPSECTOR. Kies een statisch IP-adres aan het statische IP-adres toewijzen dat onder de Clientfunctie voor IP-adres wordt toegewezen.

   

VPN-clientconfiguratie

In deze sectie worden de VPN-clientzijconfiguratie beschreven.

1. Kies Start > Programma's > Cisco Systems VPN-client > VPN-client.

2. Klik op Nieuw om het venster Nieuwe VPN-verbinding maken te starten.

   

3. Wijs desgevraagd een naam aan uw ingang toe. U kunt desgewenst ook een beschrijving invoeren. Specificeer het VPN 3000 Concentrator openbare IP-adres in de kolom Host en kies Group Verificatie. Typ vervolgens de groepsnaam en het wachtwoord. Klik op Opslaan om de nieuwe VPN-verbinding te voltooien.

   

   N.B.: Zorg ervoor dat de VPN-client is geconfigureerd voor gebruik van dezelfde groepsnaam en wachtwoord in Cisco VPN 3000 Series Concentrator.

Voeg accounting toe

Nadat de authenticatie werkt, kunt u accounting toevoegen.

1. Kies in VPN 3000 Configuration > System > Server > Accounting Server en voeg Cisco Secure ACS toe voor Windows-server.

2. U kunt afzonderlijke accounting servers aan elke groep toevoegen als u Configuratie > Gebruikersbeheer > Groepen kiest, een groep markeert en op Wijzigen klikt. servers. Voer vervolgens het IP-adres van de boekhoudserver in met het servergeheim.

   

   In Cisco Secure ACS voor Windows verschijnen de accounting records zoals deze uitvoer toont:

   

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.

Controleer de VPN-concentratie

Kies aan de kant VPN 3000 Concentrator Administratie > Sessies beheren om de externe VPN-tunnelvestiging te controleren.

Controleer de VPN-client

Voltooi deze stappen om de VPN-client te controleren.

1. Klik op Connect om een VPN-verbinding te initiëren.

   

2. Dit venster verschijnt voor gebruikersverificatie. Voer een geldige naam en wachtwoord in om de VPN-verbinding op te zetten.

   

3. De VPN-client wordt aangesloten op de VPN 3000 Concentrator op de centrale site.

   

4. Kies Status > Statistieken om de tunnelstatistieken van de VPN-client te controleren.

   

Problemen oplossen

Voltooi deze stappen om problemen met de configuratie op te lossen.

1. Kies Configuratie > Systeem > Server > Verificatie en voltooi deze stappen om de connectiviteit tussen de RADIUS-server en de VPN 3000 Concentrator te testen.

   1. Selecteer uw server en klik vervolgens op Test.

      

   2. Voer de gebruikersnaam en het wachtwoord van de RADIUS in en klik op OK.

      

      Een succesvolle authenticatie lijkt te bestaan.

      

2. Als het mislukt, is er een configuratieprobleem of een IP-connectiviteit-probleem. Controleer de mislukte pogingen om op de ACS-server in te loggen op berichten met betrekking tot de fout.

   • Als er geen berichten in dit logbestand verschijnen is er waarschijnlijk een probleem met IP-connectiviteit. Het RADIUS-verzoek bereikt de RADIUS-server niet. Controleer de filters die worden toegepast op de juiste VPN 3000 Concentrator-interface om RADIUS (1645)-pakketten in en uit toe te staan.

   • Als de testverificatie geslaagd is, maar de logins bij de VPN 3000 Concentrator blijven mislukken, controleert u het logbestand van gebeurtenis voor filtering via de console-poort.

   Als de verbindingen niet werken, kunt u AUTH-, IKE- en IPsec-eventklassen toevoegen aan VPN Concentrator wanneer u Configuration > System > Events > Classes > Change (Severity to Log=1-9, Severity to Console=1-3) selecteert. AUTHDBG, AUTHDECODE, IKEDBG, IKEDECODE, IPSECDBG en IPSECDECODE zijn ook beschikbaar, maar kunnen te veel informatie verstrekken. Indien gedetailleerde informatie nodig is over de kenmerken die worden doorgegeven van de RADIUS-server, geven AUTHDECODE, IKEDECODE en IPSECDECODE dit aan op het niveau Severity to Log=1-13.

3. Het logbestand van de gebeurtenis terughalen uit Monitoring > Event Log.

   

Probleemoplossing VPN-client 4.8 voor Windows

Voltooi deze stappen om een oplossing te vinden voor VPN-client 4.8 voor Windows.

1. Kies de instellingen voor Log > Log om de logniveaus in de VPN-client in te schakelen.

   

2. Kies Log > venster in om de logitems in de VPN-client te bekijken.

   

Gerelateerde informatie

• Ondersteuning van Cisco VPN 3000 Series Concentrator-pagina
• Cisco VPN-clientondersteuningspagina
• IPsec-onderhandeling/IKE-protocollen
• Cisco Secure ACS voor Windows-ondersteuningspagina
• Dynamische filters op een RADIUS-server configureren
• Technische ondersteuning en documentatie – Cisco Systems