PIX/ASA und VPN-Client für öffentliches Internet, VPN auf einem Stick – Konfigurationsbeispiel

Einleitung

In diesem Dokument wird beschrieben, wie Sie eine ASA Security Appliance ab Version 7.2 einrichten, um IPsec auf einem Stick auszuführen. Diese Einrichtung gilt für einen bestimmten Fall, in dem die ASA kein Split-Tunneling zulässt und Benutzer sich direkt mit der ASA verbinden, bevor ihnen der Zugriff auf das Internet gestattet wird.

Hinweis: In PIX/ASA Version 7.2 und höher Intra-Interface ermöglicht es dem gesamten Datenverkehr, in dieselbe Schnittstelle zu gelangen und diese zu verlassen, und nicht nur IPsec-Datenverkehr.

Weitere Informationen zum Durchführen einer ähnlichen Konfiguration auf einem Router in der Zentrale finden Sie unter Router and VPN Client for Public Internet on a Stick Configuration Example (Konfigurationsbeispiel für das öffentliche Internet auf einem Stick).

Weitere Informationen zu dem Szenario, in dem das Hub-PIX den Datenverkehr vom VPN-Client zum Spoke-to-Client-VPN mit TACACS+-Authentifizierungskonfigurationsbeispiel umleitet, finden Sie unter PIX/ASA 7.x Enhanced Spoke-to-Client VPN with TACACS+ Authentication Example.

Hinweis: Um eine Überlappung der IP-Adressen im Netzwerk zu vermeiden, weisen Sie dem VPN Client einen völlig anderen Pool von IP-Adressen zu (z. B. 10.x.x.x, 172.16.x.x und 192.168.x.x). Dieses IP-Adressierungsschema ist hilfreich bei der Fehlerbehebung in Ihrem Netzwerk.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie diese Konfiguration ausprobieren:

• Auf der Hub-PIX/ASA Security Appliance muss Version 7.2 oder höher ausgeführt werden

• Cisco VPN-Client Version 5.x

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der PIX- oder ASA-Sicherheitslösung Version 8.0.2 und Cisco VPN Client Version 5.0.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Verwandte Produkte

Diese Konfiguration kann auch mit der Cisco PIX Security Appliance Version 7.2 und höher verwendet werden.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Hairpinning oder U-Turn

Diese Funktion ist für VPN-Datenverkehr nützlich, der über eine Schnittstelle eingeht, dann aber über dieselbe Schnittstelle weitergeleitet wird. Wenn Sie beispielsweise ein Hub-and-Spoke-VPN-Netzwerk haben, bei dem die Sicherheitsanwendung der Hub ist und die Remote-VPN-Netzwerke Spokes sind, muss der Datenverkehr in die Sicherheitsanwendung und dann wieder in die andere Spoke fließen, damit eine Spoke mit einer anderen Spoke kommunizieren kann.

Verwenden Sie den Befehl same-security-traffic, um zu ermöglichen, dass Datenverkehr über dieselbe Schnittstelle ein- und ausgeht.

securityappliance(config)#
same-security-traffic permit intra-interface

Hinweis: Hairpinning oder Kehrtwende kann auch für die Kommunikation zwischen VPN-Client und VPN-Client verwendet werden.

Konfigurationen

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

CLI-Konfiguration von PIX/ASA

• PIX/ASA

PIX Version 8.0(2)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 172.16.3.101 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
ftp mode passive

!--- Command that permits IPsec traffic to enter and exit the same interface.

same-security-traffic permit intra-interface
access-list 100 extended permit icmp any any echo-reply
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500

ip local pool vpnpool 
   192.168.10.1-192.168.10.254 mask 255.255.255.0

no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control
!--- The address pool for the VPN Clients.



!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP. 

global (outside) 1 172.18.124.166


!--- The NAT statement to define what to encrypt (the addresses from the vpn-pool).
 

nat (outside) 1 192.168.10.0 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.3.102 172.16.3.102 
   netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.124.98 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- The configuration of group-policy for VPN Clients.


group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20


!--- Forces VPN Clients over the tunnel for Internet access.


split-tunnel-policy tunnelall


no snmp-server location
no snmp-server contact
snmp-server enable traps snmp


!--- Configuration of IPsec Phase 2.


crypto ipsec transform-set myset esp-3des esp-sha-hmac


!--- Crypto map configuration for VPN Clients that connect to this PIX.


crypto dynamic-map rtpdynmap 20 set transform-set myset


!--- Binds the dynamic map to the crypto map process.


crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


!--- Crypto map applied to the outside interface.


crypto map mymap interface outside


!--- Enable ISAKMP on the outside interface.


isakmp identity address
isakmp enable outside


!--- Configuration of ISAKMP policy.


isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Configuration of tunnel-group with group information for VPN Clients.


tunnel-group rtptacvpn type ipsec-ra


!--- Configuration of group parameters for the VPN Clients.


tunnel-group rtptacvpn general-attributes
address-pool vpnpool


!--- Disable user authentication.


authentication-server-group none



!--- Bind group-policy parameters to the tunnel-group for VPN Clients.


default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
 inspect dns maximum-length 512
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect netbios
 inspect rsh
 inspect rtsp
 inspect skinny
 inspect esmtp
 inspect sqlnet
 inspect sunrpc
 inspect tftp
 inspect sip
 inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0
: end

Konfigurieren von ASA/PIX mit ASDM

Gehen Sie wie folgt vor, um die Cisco ASA als Remote-VPN-Server mit ASDM zu konfigurieren:

1. Wählen Sie Wizards > IPsec VPN Wizard (Assistenten > IPsec-VPN-Assistent) im Hauptfenster aus.

   

2. Wählen Sie den Tunneltyp für den Remote Access VPN aus, und stellen Sie sicher, dass die VPN-Tunnelschnittstelle wie gewünscht konfiguriert ist.

   

3. Der einzige verfügbare VPN-Client-Typ wurde bereits ausgewählt. Klicken Sie auf Next (Weiter).

   

4. Geben Sie einen Namen für den Tunnelgruppennamen ein. Geben Sie die zu verwendenden Authentifizierungsinformationen an.

   In diesem Beispiel wird der vorinstallierte Schlüssel ausgewählt.

   

   Hinweis: Es gibt keine Möglichkeit, den vorinstallierten Schlüssel auf dem ASDM auszublenden/zu verschlüsseln. Der Grund hierfür ist, dass der ASDM nur von Personen verwendet werden darf, die die ASA konfigurieren, oder von Personen, die den Kunden bei dieser Konfiguration unterstützen.

5. Wählen Sie aus, ob Remote-Benutzer bei der lokalen Benutzerdatenbank oder einer externen AAA-Servergruppe authentifiziert werden sollen.

   Hinweis: In Schritt 6 fügen Sie der lokalen Benutzerdatenbank Benutzer hinzu.

   Hinweis: Weitere Informationen zur Konfiguration einer externen AAA-Servergruppe über ASDM finden Sie unter PIX/ASA 7.x Authentication and Authorization Server Groups for VPN Users via ASDM Configuration Example.

   

6. Fügen Sie der lokalen Datenbank bei Bedarf Benutzer hinzu.

   Hinweis: Aktuelle Benutzer nicht aus diesem Fenster entfernen. Wählen Sie Configuration > Device Administration > Administration > User Accounts (Konfiguration > Geräteverwaltung > Verwaltung > Benutzerkonten) im ASDM-Hauptfenster, um vorhandene Einträge in der Datenbank zu bearbeiten oder aus der Datenbank zu entfernen.

   

7. Definieren Sie einen Pool lokaler Adressen, die Remote-VPN-Clients bei der Verbindung dynamisch zugewiesen werden.

   

8. Optional: Geben Sie die DNS- und WINS-Serverinformationen sowie einen Standard-Domänennamen an, der an Remote-VPN-Clients übertragen werden soll.

   

9. Geben Sie die Parameter für IKE an, die auch als IKE Phase 1 bezeichnet werden.

   Die Konfigurationen auf beiden Seiten des Tunnels müssen exakt übereinstimmen, aber der Cisco VPN Client wählt automatisch die richtige Konfiguration für sich aus. Auf dem Client-PC ist keine IKE-Konfiguration erforderlich.

   

10. Geben Sie die Parameter für IPSec an, auch bekannt als IKE Phase 2.

    Die Konfigurationen auf beiden Seiten des Tunnels müssen exakt übereinstimmen, aber der Cisco VPN Client wählt automatisch die richtige Konfiguration für sich aus. Auf dem Client-PC ist keine IKE-Konfiguration erforderlich.

    

11. Legen Sie fest, welche internen Hosts oder Netzwerke entfernten VPN-Benutzern ausgesetzt werden können (falls vorhanden).

    Wenn Sie diese Liste leer lassen, können Remote-VPN-Benutzer auf das gesamte interne Netzwerk der ASA zugreifen.

    Sie können in diesem Fenster auch Split-Tunneling aktivieren. Split-Tunneling verschlüsselt den Datenverkehr zu den zuvor in diesem Verfahren definierten Ressourcen und bietet unverschlüsselten Zugriff auf das Internet im Allgemeinen, indem dieser Datenverkehr nicht getunnelt wird. Wenn Split-Tunneling nicht aktiviert ist, wird der gesamte Datenverkehr von Remote-VPN-Benutzern über Tunnel an die ASA weitergeleitet. Je nach Konfiguration kann dies sehr bandbreiten- und prozessorintensiv werden.

    

12. Dieses Fenster zeigt eine Zusammenfassung der von Ihnen durchgeführten Aktionen. Klicken Sie auf Beenden, wenn Sie mit Ihrer Konfiguration zufrieden sind.

    

13. Konfigurieren Sie den Befehl same-security-traffic, um den Datenverkehr zwischen zwei oder mehr Hosts, die mit derselben Schnittstelle verbunden sind, zu aktivieren, wenn Sie auf das Kontrollkästchen wie dargestellt klicken:

    

14. Wählen Sie Configuration > Firewall > NAT Rules aus, und klicken Sie auf Add Dynamic NAT Rule, um diese dynamische Übersetzung mithilfe von ASDM zu erstellen.

    

15. Wählen Sie inside als Quellschnittstelle aus, und geben Sie die Adressen ein, die Sie NAT nutzen möchten. Wählen Sie unter Translate Address on Interface die Option outside aus, und klicken Sie auf OK.

    

16. Wählen Sie outside als Quellschnittstelle aus, und geben Sie die Adressen ein, die Sie NAT erstellen möchten. Wählen Sie unter Translate Address on Interface die Option outside aus, und klicken Sie auf OK.

    

17. Die Übersetzung wird in den Übersetzungsregeln unter Konfiguration > Firewall > NAT-Regeln angezeigt.

    

Hinweis 1: Der Befehl sysopt connection permit-vpn muss konfiguriert werden. Mit dem Befehl show running-config sysopt wird überprüft, ob der Befehl konfiguriert ist.

Hinweis 2: Fügen Sie diese Ausgabe für den optionalen UDP-Transport hinzu:

group-policy clientgroup attributes
vpn-idle-timeout 20

ipsec-udp enable
ipsec-udp-port 10000

split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel

Hinweis 3: Konfigurieren Sie diesen Befehl in der globalen Konfiguration der PIX-Appliance, damit VPN-Clients sich über IPsec über TCP verbinden:

isakmp ipsec-over-tcp port 10000

Hinweis: Im Video Hair-Pinning auf Cisco ASA finden Sie weitere Informationen zu verschiedenen Szenarien, in denen das Hairpinning verwendet werden kann.

Konfiguration des VPN-Clients

Führen Sie die folgenden Schritte aus, um den VPN-Client zu konfigurieren:

1. Wählen Sie Neu.

   

2. Geben Sie die IP-Adresse der externen PIX-Schnittstelle und den Namen der Tunnel-Gruppe zusammen mit dem Kennwort für die Authentifizierung ein.

   

3. (Optional) Klicken Sie auf der Registerkarte "Transport" auf Transparentes Tunneling aktivieren. (Dies ist optional und erfordert die in Hinweis 2 genannte zusätzliche PIX/ASA-Konfiguration.)

   

4. Speichern Sie das Profil.

Überprüfung

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.

• show crypto isakmp sa: Zeigt alle aktuellen IKE-Sicherheitszuordnungen (SAs) auf einem Peer an.

• show crypto ipsec sa - Zeigt alle aktuellen SAs an. Suchen Sie nach Paketen auf der SA, die den Datenverkehr des VPN-Clients definieren.

Versuchen Sie, einen Ping zu senden oder zu einer öffentlichen IP-Adresse auf dem Client zu navigieren (z. B. www.cisco.com).

Hinweis: Die interne Schnittstelle des PIX kann nur dann für die Tunnelbildung angepingt werden, wenn der Management-Access-Befehl im globalen Bestätigungsmodus konfiguriert ist.

PIX1(config)#management-access inside
PIX1(config)#
show management-access

management-access inside

VPN-Client-Überprüfung

Führen Sie diese Schritte aus, um den VPN-Client zu überprüfen.

1. Klicken Sie mit der rechten Maustaste auf das Sperrsymbol des VPN-Clients, das sich nach einer erfolgreichen Verbindung in der Taskleiste befindet, und wählen Sie die Option für die Statistik aus, um die Verschlüsselungs- und Entschlüsselungsfunktionen anzuzeigen.

2. Klicken Sie auf die Registerkarte Route Details (Routendetails), um zu überprüfen, ob die Liste "no split-tunnel" von der Appliance weitergeleitet wurde.

Fehlerbehebung

Hinweis: Weitere Informationen zur Behebung von VPN-Problemen finden Sie unter Lösungen zur VPN-Fehlerbehebung .

Zugehörige Informationen

• Verbessertes Spoke-to-Client-VPN - Konfigurationsbeispiel für die PIX Security Appliance Version 7.0
• Cisco VPN-Client
• IPSec-Aushandlung/IKE-Protokolle
• Cisco PIX Firewall-Software
• Cisco Secure PIX Firewall - Befehlsreferenzen
• Sicherheitsprodukt - Problemhinweise (einschließlich PIX)
• Hair-Pinning auf der Cisco ASA
• Requests for Comments (RFCs)
• Technischer Support und Dokumentation für Cisco Systeme