ASA 7.2(2): SSL VPN Client (SVC) für öffentliches Internet-VPN auf einem Stick - Konfigurationsbeispiel

Einleitung

In diesem Dokument wird beschrieben, wie Sie eine Adaptive Security Appliance (ASA) 7.2.2 einrichten, um SSL VPN auf einem Stick auszuführen. Diese Konfiguration gilt für einen bestimmten Fall, in dem die ASA Split-Tunneling-Funktion nicht zulässt und Benutzer keine direkte Verbindung mit der ASA herstellen, bevor sie zum Internet zugelassen werden.

Hinweis: In ASA 7.2.2 intra-interface-Schlüsselwort des Konfigurationsmodusbefehls same-security-traffic permit ermöglicht, dass der gesamte Datenverkehr in dieselbe Schnittstelle eintritt und diese verlässt (nicht nur IPsec-Datenverkehr).

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie diese Konfiguration ausprobieren:

• Auf der Hub-ASA Security Appliance muss Version 7.2.2 ausgeführt werden.

• Cisco SSL VPN-Client (SVC) 1.x

  Hinweis: Laden Sie das SSL VPN Client-Paket (sslclient-win*.pkg) von Cisco Software Download (nur registrierte Kunden) herunter. Kopieren Sie den SVC in den Flash-Speicher der ASA. Der SVC ist auf die Remotecomputer herunterzuladen, um die SSL VPN-Verbindung mit der ASA herzustellen. Weitere Informationen finden Sie unter Installieren der SVC-Software im Cisco Security Appliance Command Line Configuration Guide, Version 7.2.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco Adaptive Security Appliance (ASA) der Serie 5500 mit Softwareversion 7.2(2)

• Cisco SSL VPN Client-Version für Windows 1.1.4.179

• PC mit Windows 2000 Professional oder Windows XP

• Cisco Adaptive Security Device Manager (ASDM) Version 5.2(2)

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Der SSL VPN Client (SVC) ist eine VPN-Tunneling-Technologie, die Remote-Benutzern die Vorteile eines IPSec VPN-Clients bietet, ohne dass Netzwerkadministratoren IPSec VPN-Clients auf Remote-Computern installieren und konfigurieren müssen. Der SVC verwendet die SSL-Verschlüsselung, die bereits auf dem Remote-Computer vorhanden ist, sowie die WebVPN-Anmeldung und -Authentifizierung der Security Appliance.

Um eine SVC-Sitzung einzurichten, gibt der Remote-Benutzer die IP-Adresse einer WebVPN-Schnittstelle der Security Appliance in den Browser ein. Der Browser stellt eine Verbindung zu dieser Schnittstelle her und zeigt den WebVPN-Anmeldebildschirm an. Wenn der Benutzer die Anmeldung und Authentifizierung erfüllt und die Sicherheits-Appliance den Benutzer als SVC erforderlich identifiziert, lädt die Sicherheits-Appliance den SVC auf den Remote-Computer herunter. Wenn die Sicherheits-Appliance den Benutzer als Benutzer identifiziert, der die SVC-Option nutzen kann, lädt die Sicherheits-Appliance den SVC auf den Remote-Computer herunter und zeigt einen Link auf dem Benutzerbildschirm an, um die SVC-Installation zu überspringen.

Nach dem Herunterladen installiert und konfiguriert sich der SVC selbst, und dann bleibt der SVC entweder erhalten oder deinstalliert sich selbst (je nach Konfiguration) vom Remote-Computer, wenn die Verbindung beendet wird.

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Hinweis: Die in dieser Konfiguration verwendeten IP-Adressierungsschemata sind im Internet nicht legal routbar. Es handelt sich um RFC 1918-Adressen, die in einer Lab-Umgebung verwendet wurden.

ASA 7.2(2)-Konfigurationen mit ASDM 5.2(2)

In diesem Dokument wird davon ausgegangen, dass die Basiskonfigurationen, z. B. die Schnittstellenkonfiguration, bereits vorgenommen wurden und ordnungsgemäß funktionieren.

Hinweis: Weitere Informationen dazu, wie die ASA vom ASDM konfiguriert werden kann, finden Sie unter Zulassen des HTTPS-Zugriffs für ASDM.

Hinweis: WebVPN und ASDM können nur auf derselben ASA-Schnittstelle aktiviert werden, wenn Sie die Portnummern ändern. Weitere Informationen finden Sie unter ASDM and WebVPN Enabled on the Same Interface of ASA (ASDM- und WebVPN-Aktivierung auf derselben ASA-Schnittstelle).

Führen Sie die folgenden Schritte aus, um das SSL-VPN auf einem Stick in ASA zu konfigurieren:

1. Wählen Sie Configuration > Interfaces (Konfiguration > Schnittstellen) aus, und aktivieren Sie das Kontrollkästchen Enable traffic between two or more hosts connected to the same interface (Datenverkehr zwischen zwei oder mehr Hosts, die mit derselben Schnittstelle verbunden sind, aktivieren, damit SSL VPN-Datenverkehr in dieselbe Schnittstelle eintreten und diese verlassen kann.

2. Klicken Sie auf Apply (Anwenden).

   

   Hinweis: Hier sehen Sie den entsprechenden CLI-Konfigurationsbefehl:

   Cisco ASA 7.2 (2)
   ciscoasa(config)#same-security-traffic permit intra-interface

3. Wählen Sie Configuration > VPN > IP Address Management > IP Pools > Add, um einen IP-Adresspool mit dem Namen vpnpool zu erstellen.

   

4. Klicken Sie auf Apply (Anwenden).

   Hinweis: Hier sehen Sie den entsprechenden CLI-Konfigurationsbefehl:

   Cisco ASA 7.2 (2)
   ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254

5. Aktivieren Sie WebVPN:

   1. Wählen Sie Configuration > VPN > WebVPN > WebVPN Access aus, und wählen Sie die externe Schnittstelle aus.

   2. Klicken Sie auf Aktivieren.

   3. Aktivieren Sie das Kontrollkästchen Enable Tunnel Group Dropdown List on WebVPN Login Page (Tunnel-Gruppe aktivieren), damit Benutzer ihre jeweiligen Gruppen auf der Anmeldeseite auswählen können.

      

   4. Klicken Sie auf Apply (Anwenden).

   5. Wählen Sie Configuration > VPN > WebVPN > SSL VPN Client > Add aus, um das SSL VPN Client-Image aus dem Flash-Speicher der ASA hinzuzufügen.

      

   6. Klicken Sie auf OK.

      

   7. Klicken Sie auf OK.

   8. Klicken Sie auf das Kontrollkästchen SSL VPN Client.

      

   Hinweis: Entsprechende CLI-Konfigurationsbefehle:

   Cisco ASA 7.2 (2)
   ciscoasa(config)#webvpn ciscoasa(config-webvpn)#enable outside ciscoasa(config-webvpn)#svc image disk0:/sslclient-win-1.1.4.179.pkg 1 ciscoasa(config-webvpn)#tunnel-group-list enable ciscoasa(config-webvpn)#svc enable

6. Konfigurieren Sie die Gruppenrichtlinie:

   1. Wählen Sie Configuration > VPN > General > Group Policy > Add (Internal Group Policy), um eine interne Gruppenrichtlinie mit dem Namen clientgroup zu erstellen.

   2. Klicken Sie auf die Registerkarte Allgemein, und aktivieren Sie das Kontrollkästchen WebVPN, um WebVPN als Tunneling-Protokoll zu aktivieren.

      

   3. Klicken Sie auf die Registerkarte Client-Konfiguration und dann auf die Registerkarte Allgemeine Client-Parameter.

   4. Wählen Sie in der Dropdown-Liste "Split Tunnel Policy" (Split-Tunnelrichtlinie) die Option Tunnel All Networks (Alle Netzwerke tunneln) aus, damit alle Pakete vom Remote-PC durch einen sicheren Tunnel übertragen werden.

      

   5. Klicken Sie auf die Registerkarte WebVPN > SSL VPN Client, und wählen Sie folgende Optionen aus:

      1. Deaktivieren Sie für die Option SSL VPN Client verwenden das Kontrollkästchen Vererben, und klicken Sie auf das Optionsfeld Optional.

         Mit dieser Option kann der Remote-Client auswählen, ob der SVC heruntergeladen werden soll oder nicht. Mit der Option "Immer" wird sichergestellt, dass der SVC bei jeder SSL VPN-Verbindung auf die Remote-Workstation heruntergeladen wird.

      2. Deaktivieren Sie für die Option Installationsprogramm auf Client-System beibehalten das Kontrollkästchen Erben, und klicken Sie auf das Optionsfeld Ja

         Mit dieser Option kann die SVC-Software auf dem Client-Computer verbleiben. Daher ist die ASA nicht verpflichtet, die SVC-Software bei jeder Verbindungsherstellung auf den Client herunterzuladen. Diese Option ist eine gute Wahl für Remote-Benutzer, die häufig auf das Unternehmensnetzwerk zugreifen.

      3. Deaktivieren Sie für die Option "Neuverhandlungsintervall" das Kontrollkästchen Erben, deaktivieren Sie das Kontrollkästchen Unbegrenzt, und geben Sie die Anzahl der Minuten bis zur erneuten Eingabe ein.

         Hinweis: Die Sicherheit wird verbessert, indem die Gültigkeitsdauer eines Schlüssels begrenzt wird.

      4. Deaktivieren Sie für die Option Neuverhandlungsmethode das Kontrollkästchen Vererben, und klicken Sie auf das Optionsfeld SSL.

         Hinweis: Bei einer Neuverhandlung kann der vorhandene SSL-Tunnel oder ein neuer speziell für eine Neuverhandlung erstellter Tunnel verwendet werden.

      Die Attribute für den SSL VPN-Client sollten wie in diesem Bild dargestellt konfiguriert werden:

      

   6. Klicken Sie auf OK und dann auf Übernehmen.

      

   Hinweis: Entsprechende CLI-Konfigurationsbefehle:

   Cisco ASA 7.2 (2)

   ciscoasa(config)#group-policy clientgroup internal ciscoasa(config)#group-policyclientgroup attributes ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn ciscoasa(config-group-policy)#split-tunnel-policy tunnelall ciscoasa(config-group-policy)#webvpn ciscoasa(config-group-webvpn)#svc required ciscoasa(config-group-webvpn)#svc keep-installer installed ciscoasa(config-group-webvpn)#svc rekey time 30 ciscoasa(config-group-webvpn)#svc rekey method ssl

7. Wählen Sie Configuration > VPN > General > Users > Add, um ein neues Benutzerkonto für ssluser1 zu erstellen.

8. Klicken Sie auf OK und dann auf Übernehmen.

   

   Hinweis: Entsprechender CLI-Befehl:

   Cisco ASA 7.2 (2)
   ciscoasa(config)#username ssluser1 password asdmASA@

9. Wählen Sie Configuration > Properties > AAA Setup > AAA Servers Groups > Edit aus.

10. Wählen Sie die Standard-Servergruppe LOCAL aus, und klicken Sie auf Edit.

11. Klicken Sie im Dialogfeld Edit LOCAL Server Group (LOKALE Servergruppe bearbeiten) auf das Kontrollkästchen Enable Local User Lockout (Lokale Benutzersperre aktivieren), und geben Sie 16 in das Textfeld Maximum Attempts (Maximale Versuche) ein.

12. Klicken Sie auf OK.

    

    Hinweis: Entsprechender CLI-Befehl:

    Cisco ASA 7.2 (2)
    ciscoasa(config)#aaa local authentication attempts max-fail 16

13. Konfigurieren Sie die Tunnelgruppe:

    1. Wählen Sie Configuration > VPN > General > Tunnel Group > Add (WebVPN-Zugriff), um eine neue Tunnelgruppe mit dem Namen sslgroup zu erstellen. -

    2. Klicken Sie auf die Registerkarte Allgemein und dann auf die Registerkarte Grundlegend.

    3. Wählen Sie ClientGroup aus der Dropdown-Liste Group Policy (Gruppenrichtlinie) aus.

       

    4. Klicken Sie auf die Registerkarte Client Address Assignment (Client-Adressenzuweisung) und dann auf Add (Hinzufügen), um den verfügbaren Adresspool vpnpool zuzuweisen.

       

    5. Klicken Sie auf die Registerkarte WebVPN und dann auf die Registerkarte Gruppenaliase und URLs.

    6. Geben Sie den Aliasnamen in das Parameterfeld ein, und klicken Sie auf Hinzufügen, um ihn der Liste der Gruppennamen auf der Anmeldeseite hinzuzufügen.

       

    7. Klicken Sie auf OK und dann auf Übernehmen.

    Hinweis: Entsprechende CLI-Konfigurationsbefehle:

    Cisco ASA 7.2 (2)
    ciscoasa(config)#tunnel-group sslgroup type webvpn ciscoasa(config)#tunnel-group sslgroup general-attributes ciscoasa(config-tunnel-general)#address-pool vpnpool ciscoasa(config-tunnel-general)#default-group-policy clientgroup ciscoasa(config-tunnel-general)#exit ciscoasa(config)#tunnel-group sslgroup webvpn-attributes ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

14. Konfigurieren von NAT:

    1. Wählen Sie Configuration > NAT > Add > Add Dynamic NAT Rule (Konfiguration > NAT > Hinzufügen > Dynamische NAT-Regel hinzufügen), damit der Datenverkehr aus dem internen Netzwerk unter Verwendung der externen IP-Adresse 172.16.1.5 umgewandelt werden kann.

       

    2. Klicken Sie auf OK.

    3. Wählen Sie Configuration > NAT > Add > Add Dynamic NAT Rule (Konfiguration > NAT > Hinzufügen > Dynamische NAT-Regel hinzufügen), damit der Datenverkehr aus dem externen Netzwerk 192.168.10.0 unter Verwendung der externen IP-Adresse 172.16.1.5 umgewandelt werden kann.

       

    4. Klicken Sie auf OK.

       

    5. Klicken Sie auf Apply (Anwenden).

    Hinweis: Entsprechende CLI-Konfigurationsbefehle:

    Cisco ASA 7.2 (2)
    ciscoasa(config)#global (outside) 1 172.16.1.5 ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0 ciscoasa(config)#nat (outside) 1 192.168.10.0 255.255.255.0

Konfiguration der ASA 7.2(2) CLI

ciscoasa#show running-config
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit intra-interface


!--- Command that permits the SSL VPN traffic to enter !--- and exit the same interface.


access-list 100 extended permit icmp any any
pager lines 24
mtu inside 1500
mtu outside 1500

ip local pool vpnpool 192.168.10.1-192.168.10.254


!--- The address pool for the SSL VPN Clients.


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP.


nat (inside) 1 0.0.0.0 0.0.0.0


!--- The NAT statement to define what to encrypt !--- (the addresses from vpn-pool).


nat (outside) 1 192.168.10.0 255.255.255.0

access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:0
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:
timeout uauth 0:05:00 absolute
group-policy clientgroup internal


!--- Create an internal group policy "clientgroup."


group-policy clientgroup attributes
 vpn-tunnel-protocol webvpn


!--- Enable webvpn as tunneling protocol.


 split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.


 webvpn
  svc required
  

!--- Activate the SVC under webvpn mode


svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, they renegotiate !--- the crypto keys and initialization vectors, increasing the security of !--- the connection.


svc rekey time 30


--- Command that specifies the number of minutes from the start of the !--- session until the rekey takes place, from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation takes place during SVC rekey. 


username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create an user account "ssluser1."


aaa local authentication attempts max-fail 16


!--- Enable the AAA local authentication.


http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
tunnel-group sslgroup type webvpn


!--- Create a tunnel group "sslgroup" with type as WebVPN.


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created.


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created.


tunnel-group sslgroup webvpn-attributes

 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users.


telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface.


 svc image disk0:/sslclient-win-1.1.4.179.pkg 1


!--- Assign an order to the SVC image.


 svc enable


!--- Enable the security appliance to download SVC images to remote computers.


 tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page.


prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa#

Einrichtung der SSL VPN-Verbindung mit SVC

Führen Sie diese Schritte aus, um eine SSL VPN-Verbindung mit der ASA herzustellen.

1. Geben Sie im Adressfeld Ihres Webbrowsers die URL oder IP-Adresse für die WebVPN-Schnittstelle der ASA ein.

   Beispiele:

   https://<IP address of the ASA WebVPN interface>

   

2. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein, und wählen Sie dann Ihre entsprechende Gruppe aus der Dropdown-Liste Gruppe aus.

   

   Hinweis: Vor dem Herunterladen des SSL VPN-Clients muss die ActiveX-Software auf Ihrem Computer installiert sein.

   

   Dieses Dialogfeld wird angezeigt, wenn die Verbindung hergestellt wurde:

   

   Diese Meldung wird angezeigt, wenn die Verbindung hergestellt wurde:

   

3. Wenn die Verbindung hergestellt ist, doppelklicken Sie auf das gelbe Schlüsselsymbol, das in der Taskleiste Ihres Computers angezeigt wird.

   Das Dialogfeld Cisco Systems SSL VPN Client zeigt Informationen zur SSL-Verbindung an.

   

   

   

Überprüfung

Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.

• show webvpn svc: Zeigt die im ASA-Flash-Speicher gespeicherten SVC-Images an.

  ciscoasa#show webvpn svc
  1. disk0:/sslclient-win-1.1.4.179.pkg 1
    CISCO STC win2k+ 1.0.0
    1,1,4,179
    Fri 01/18/2008 15:19:49.43
  
  1 SSL VPN Client(s) installed
  

• show vpn-sessiondb svc (vpn-sitzungsdb svc): Zeigt die Informationen über die aktuellen SSL-Verbindungen an.

  ciscoasa#show vpn-sessiondb svc
  
  Session Type: SVC
  
  Username     : ssluser1
  Index        : 1
  Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
  Protocol     : SVC                    Encryption   : 3DES
  Hashing      : SHA1
  Bytes Tx     : 131813                 Bytes Rx     : 5082
  Client Type  : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
  Client Ver   : Cisco Systems SSL VPN Client 1, 1, 4, 179
  Group Policy : clientgroup
  Tunnel Group : sslgroup
  Login Time   : 12:38:47 UTC Mon Mar 17 2008
  Duration     : 0h:00m:53s
  Filter Name  :

• show webvpn group-alias: Zeigt den konfigurierten Alias für verschiedene Gruppen an.

  ciscoasa#show webvpn group-alias
  Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled
  

• Wählen Sie in ASDM Monitoring > VPN > VPN Statistics > Sessions, um Informationen über die aktuellen WebVPN-Sitzungen in der ASA anzuzeigen.

  

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

• vpn-sessiondb logoff name <username> - Ermöglicht Ihnen, sich bei der SSL VPN-Sitzung für den angegebenen Benutzernamen abzumelden.

  ciscoasa#vpn-sessiondb logoff name ssluser1
  Called vpn_remove_uauIth: success!
  webvpn_svc_np_tear_down: no ACL
  NFO: Number of sessions with name "ssluser1" logged off : 1
  
  

  Ebenso können Sie den Befehl vpn-sessiondb logoff svc verwenden, um alle SVC-Sitzungen zu beenden.

  Hinweis: Wenn der PC in den Standby- oder Ruhemodus wechselt, kann die SSL VPN-Verbindung beendet werden.

  webvpn_rx_data_cstp
  webvpn_rx_data_cstp: got message
  SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, etc)
  Called vpn_remove_uauth: success!
  webvpn_svc_np_tear_down: no ACL
  

  ciscoasa#show vpn-sessiondb svc
  INFO: There are presently no active sessions

• Debug webvpn svc <1-255>: Stellt die WebVPN-Ereignisse in Echtzeit bereit, um die Sitzung einzurichten.

  Ciscoasa#debug webvpn svc 7 
  
  ATTR_CISCO_AV_PAIR: got SVC ACL: -1
  webvpn_rx_data_tunnel_connect
  CSTP state = HEADER_PROCESSING
  http_parse_cstp_method()
  ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
  webvpn_cstp_parse_request_field()
  ...input: 'Host: 172.16.1.1'
  Processing CSTP header line: 'Host: 172.16.1.1'
  webvpn_cstp_parse_request_field()
  ...input: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4, 179'
  Processing CSTP header line: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4,
  179'
  Setting user-agent to: 'Cisco Systems SSL VPN Client 1, 1, 4, 179'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Version: 1'
  Processing CSTP header line: 'X-CSTP-Version: 1'
  Setting version to '1'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Hostname: tacweb'
  Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
  Setting hostname to: 'tacweb'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
  Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
  webvpn_cstp_parse_request_field()
  ...input: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486
  D5BC554D2'
  Processing CSTP header line: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1
  CF236DB5E8BE70B1486D5BC554D2'
  Found WebVPN cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1
  486D5BC554D2'
  WebVPN Cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486D5B
  C554D2'
  Validating address: 0.0.0.0
  CSTP state = WAIT_FOR_ADDRESS
  webvpn_cstp_accept_address: 192.168.10.1/0.0.0.0
  CSTP state = HAVE_ADDRESS
  No subnetmask... must calculate it
  SVC: NP setup
  webvpn_svc_np_setup
  SVC ACL Name: NULL
  SVC ACL ID: -1
  SVC ACL ID: -1
  vpn_put_uauth success!
  SVC: adding to sessmgmt
  SVC: Sending response
  CSTP state = CONNECTED
  

• Wählen Sie in ASDM Monitoring > Logging > Real-time Log Viewer > View (Überwachung > Protokollierung > Echtzeitprotokollanzeige > Anzeigen), um die Ereignisse in Echtzeit anzuzeigen. Diese Beispiele zeigen Sitzungsinformationen zwischen dem SVC 192.168.10.1 und Webserver 10.2.2.2 im Internet über ASA 172.16.1.5.

  

Zugehörige Informationen

• Support-Seite für Cisco Adaptive Security Appliance der Serie 5500
• PIX/ASA 7.x und VPN-Client für öffentliches Internet-VPN auf einem Stick - Konfigurationsbeispiel
• Konfigurationsbeispiel zum SSL VPN Client (SVC) unter ASA mit ASDM
• Technischer Support und Dokumentation für Cisco Systeme