AnyConnect-Client zur ASA mit Verwendung von DHCP für die Adresszuweisung

Einleitung

In diesem Dokument wird beschrieben, wie die Cisco Adaptive Security Appliance (ASA) der Serie 5500-X konfiguriert wird, damit der DHCP-Server die Client-IP-Adresse mithilfe des Adaptive Security Device Manager (ASDM) oder der CLI für alle AnyConnect-Clients bereitstellt. 

Voraussetzungen

Anforderungen

In diesem Dokument wird davon ausgegangen, dass die ASA voll funktionsfähig und konfiguriert ist, damit der Cisco ASDM oder die CLI Konfigurationsänderungen vornehmen kann.

Hinweis: Informationen dazu, wie das Gerät vom ASDM oder von Secure Shell (SSH) remote konfiguriert werden kann, finden Sie in Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.2.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco ASA 5500-X Firewall der nächsten Generation Version 9.2(1)

• Adaptive Security Device Manager Version  7.1(6) 

• Cisco AnyConnect Secure Mobility Client 3.1.05152

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Verwandte Produkte 

Diese Konfiguration kann auch mit Cisco ASA Security Appliances der Serie 5500 Version 7.x oder höher verwendet werden.

Hintergrundinformationen 

Remote-Access-VPNs erfüllen die Anforderung mobiler Mitarbeiter, eine sichere Verbindung mit dem Unternehmensnetzwerk herzustellen. Mobile Benutzer können mithilfe der Cisco AnyConnect Secure Mobility Client-Software eine sichere Verbindung herstellen. Der Cisco AnyConnect Secure Mobility Client stellt eine Verbindung zu einem Gerät am zentralen Standort her, das für die Annahme dieser Anfragen konfiguriert ist. In diesem Beispiel handelt es sich bei dem Gerät für den zentralen Standort um eine Adaptive Security Appliance der Serie ASA 5500-X, die dynamische Crypto Maps verwendet.

Bei der Verwaltung von Sicherheitsanwendungsadressen müssen Sie IP-Adressen konfigurieren, die einen Client über den Tunnel mit einer Ressource im privaten Netzwerk verbinden, und den Client so funktionieren lassen, als wäre er direkt mit dem privaten Netzwerk verbunden.

Darüber hinaus haben Sie es nur mit den privaten IP-Adressen zu tun, die den Clients zugewiesen sind. Die IP-Adressen, die anderen Ressourcen in Ihrem privaten Netzwerk zugewiesen sind, sind Teil Ihrer Netzwerkadministration und nicht Teil des VPN-Managements. Wenn hier also von IP-Adressen die Rede ist, meint Cisco die in Ihrem privaten Netzwerkadressierungsschema verfügbaren IP-Adressen, mit denen der Client als Tunnelendpunkt fungieren kann.

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Command Lookup Tool, also das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Hinweis: Die in dieser Konfiguration verwendeten IP-Adressierungsschemata sind im Internet nicht legal routbar. Es handelt sich um RFC 1918-Adressen, die in einer Laborumgebung verwendet wurden.

Konfigurieren des Cisco AnyConnect Secure Mobility Client

ASDM-Verfahren

Gehen Sie wie folgt vor, um das Remote-Access-VPN zu konfigurieren:

• Aktivieren Sie WebVPN.
  
  
  1. Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles (Konfiguration > VPN für Remote-Zugriff > Netzwerkzugriff (Client) > SSL-VPN-Verbindungsprofile) aus, und aktivieren Sie unter Access Interfaces (Zugriffsschnittstellen) die Kontrollkästchen Allow Access (Zugriff zulassen) und Enable DTLS (DTLS zulassen) für die äußere Schnittstelle. Aktivieren Sie außerdem das Kontrollkästchen Enable Cisco AnyConnect VPN Client or legacy SSL VPN Client access on the interface selected in this table (Cisco AnyConnect VPN Client oder älteren SSL VPN Client auf der in dieser Tabelle ausgewählten Schnittstelle aktivieren), um SSL VPN auf der externen Schnittstelle zu aktivieren.
     
     
     
     
  2. Klicken Sie auf Apply (Anwenden).
     
     
  3. Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > Anyconnect Client Software > Add (Konfiguration > VPN für Remote-Zugriff > Netzwerkzugriff (Client) > AnyConnect-Client-Software > Hinzufügen) aus, um das Cisco AnyConnect VPN Client-Image wie gezeigt aus dem Flash-Speicher von ASA hinzuzufügen.
     
     
     
     
     
     Gleichwertige CLI-Konfiguration:
     
     

     ciscoasa(config)#webvpn
     ciscoasa(config-webvpn)#enable outside
     ciscoasa(config-webvpn)#anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1
     ciscoasa(config-webvpn)#tunnel-group-list enable
     ciscoasa(config-webvpn)#anyconnect enable

• Konfigurieren Sie die Gruppenrichtlinie.
  
  
  1. Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > Group Policies (Konfiguration > VPN für Remote-Zugriff > Netzwerkzugriff (Client) > Gruppenrichtlinien) aus, um die interne Gruppenrichtlinie clientgroup zu erstellen. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen SSL VPN Client, um SSL als Tunneling-Protokoll zu aktivieren.
     
     
     
     
  2. Konfigurieren Sie den DHCP-Netzwerkbereich auf der Registerkarte Server und wählen Sie Weitere Optionen, um den DHCP-Bereich für die Benutzer so zu konfigurieren, dass er automatisch zugewiesen wird.
     
     
     
     Gleichwertige CLI-Konfiguration:
     
     

     ciscoasa(config)#group-policy clientgroup internal
     ciscoasa(config)#group-policy clientgroup attributes
     ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client
     ciscoasa(config-group-policy)#

     
     
• Wählen Sie Configuration > Remote Access VPN > AAA/Local Users > Local Users > Add (Konfiguration > VPN für Remote-Zugriff > AAA/Lokale Benutzer > Lokale Benutzer > Hinzufügen) aus, um das neue Benutzerkonto ssluser1 zu erstellen. Klicken Sie auf OK und dann auf Apply (Übernehmen).

  

  Gleichwertige CLI-Konfiguration:

  ciscoasa(config)#username ssluser1 password asdmASA

• Konfigurieren Sie die Tunnelgruppe.
  
  
  1. Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > Anyconnect Connection Profiles > Add (Konfiguration > VPN für Remote-Zugriff > Netzwerkzugriff (Client) > AnyConnect-Verbindungsprofile > Hinzufügen) aus, um die neue Tunnelgruppe sslgroup zu erstellen.
     
     
  2. Auf der Registerkarte Basic (Grundeinstellungen) können Sie die Liste der Konfigurationen wie folgt ausführen:
     
     
     • Nennen Sie die Tunnelgruppe sslgroup.
     • Geben Sie die IP-Adresse des DHCP-Servers in den für die DHCP-Server bereitgestellten Speicherplatz ein.
     • Wählen Sie unter „Default Group Policy“ (Standardgruppenrichtlinie) die Gruppenrichtlinie clientgroup aus der Dropdown-Liste „Group Policy“ (Gruppenrichtlinie) aus.
     • Konfigurieren Sie den DHCP-Link oder das DHCP-Subnetz.
     
     
     
     
     
  3. Geben Sie unter Advanced > Group Alias/Group URL (Erweitert > Gruppenalias/Gruppen-URL) den Gruppenaliasnamen sslgroup_users an, und klicken Sie auf OK.
     
     Gleichwertige CLI-Konfiguration:
     
     

     ciscoasa(config)#tunnel-group sslgroup type remote-access
     ciscoasa(config)#tunnel-group sslgroup general-attributes
     ciscoasa(config-tunnel-general)#dhcp-server 192.168.10.1
     ciscoasa(config-tunnel-general)#default-group-policy clientgroup
     ciscoasa(config-tunnel-general)#exit
     ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
     ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

Subnetzauswahl oder Verbindungsauswahl  

Die DHCP-Proxy-Unterstützung für RFC 3011 und RFC 3527 wurde in Version 8.0.5 und 8.2.2 eingeführt und wird auch für zukünftige Versionen unterstützt.

• RFC 3011 definiert eine neue DHCP-Option, die Subnetz-Auswahloption, mit der der DHCP-Client das Subnetz angeben kann, dem eine Adresse zugewiesen werden soll. Diese Option hat Vorrang vor der Methode, die der DHCP-Server verwendet, um das Subnetz zur Auswahl einer Adresse zu bestimmen.
• RFC 3527 definiert eine neue DHCP-Suboption, die Verbindungsauswahl-Suboption, mit der der DHCP-Client die Adresse angeben kann, auf die der DHCP-Server antworten soll.

In Bezug auf die ASA ermöglichen diese RFCs einem Benutzer, einen DHCP-Netzwerkbereich für die DHCP-Adressenzuweisung festzulegen, der nicht lokal für die ASA ist, und der DHCP-Server kann weiterhin direkt auf die Schnittstelle der ASA antworten. Die folgenden Diagramme sollen helfen, das neue Verhalten zu veranschaulichen. Dadurch können nicht lokale Bereiche verwendet werden, ohne dass eine statische Route für diesen Bereich in ihrem Netzwerk erstellt werden muss.

Wenn RFC 3011 oder RFC 3527 nicht aktiviert ist, sieht der DHCP-Proxy-Austausch ähnlich aus:

Wenn eine dieser RFCs aktiviert ist, sieht der Austausch ähnlich aus, und dem VPN-Client wird immer noch eine Adresse im richtigen Subnetz zugewiesen:

 

Konfigurieren der ASA mithilfe der CLI

Führen Sie diese Schritte aus, um den DHCP-Server so zu konfigurieren, dass er den VPN-Clients über die Befehlszeile IP-Adressen bereitstellt. Weitere Informationen zu den einzelnen verwendeten Befehlen finden Sie unter Cisco Adaptive Security Appliances der Serie ASA 5500 - Befehlsreferenzen.

ASA# show run
 ASA Version 9.2(1)
!

!--- Specify the hostname for the Security Appliance.

hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!


!--- Configure the outside and inside interfaces.

interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/2
nameif DMZ
security-level 50
ip address 192.168.10.2 255.255.255.0


!--- Output is suppressed.


passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive

object network obj-10.1.1.0
subnet 10.1.1.0 255.255.255.0
object network obj-192.168.5.0
subnet 192.168.5.0 255.255.255.0

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
no failover
icmp unreachable rate-limit 1 burst-size 1


!--- Specify the location of the ASDM image for ASA to fetch the image
 for ASDM access.

asdm image disk0:/asdm-716.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-10.1.1.0 obj-10.1.1.0 destination static
 obj-192.168.5.0 obj-192.168.5.0
!
object network obj-10.1.1.0
nat (inside,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
!
!--- Enable webvpn and specify an Anyconnect image

webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1
anyconnect enable
tunnel-group-list enable


group-policy clientgroup internal
group-policy clientgroup attributes


!--- define the DHCP network scope in the group policy.This configuration is Optional

dhcp-network-scope 192.168.5.0


!--- In order to identify remote access users to the Security Appliance, 
!--- you can also configure usernames and passwords on the device. 

username ssluser1 password ffIRPGpDSOJh9YLq encrypted


!--- Create a new tunnel group and set the connection 
!--- type to remote-access.

tunnel-group sslgroup type remote-access


!--- Define the DHCP server address to the tunnel group.

tunnel-group sslgroup general-attributes
default-group-policy clientgroup
dhcp-server 192.168.10.1

!--- If the use of RFC 3011 or RFC 3527 is required then the following command will
enable support for them

tunnel-group sslgroup general-attributes
dhcp-server subnet-selection (server ip)      (3011)
hcp-server link-selection (server ip)        (3527)

!--- Configure a group-alias for the tunnel-group

tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable

prompt hostname context
Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d
: end
ASA#