ASDM y WebVPN habilitados en la misma interfaz del ASA

Opciones de descarga

  • PDF     (124.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (86.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (71.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:23 de marzo de 2015
ID del documento:118842

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo acceder al Cisco Adaptive Security Device Manager (ASDM) y al portal WebVPN cuando ambos están habilitados en la misma interfaz del Cisco 5500 Series Adaptive Security Appliance (ASA).

Nota: Este documento no es aplicable para Cisco 500 Series PIX Firewall, porque no soporta WebVPN.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

Componentes Utilizados

La información de este documento se basa en el Cisco 5500 Series ASA.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Problema

En las versiones de ASA anteriores a la versión 8.0(2), el ASDM y el WebVPN no se pueden habilitar en la misma interfaz del ASA, ya que ambos escuchan en el mismo puerto (443) de forma predeterminada. En las versiones 8.0(2) y posteriores, ASA admite sesiones VPN (WebVPN) sin cliente de capa de sockets seguros (SSL) y sesiones administrativas ASDM simultáneamente en el puerto 443 de la interfaz exterior. Sin embargo, cuando ambos servicios se habilitan juntos, la dirección URL predeterminada para una interfaz determinada en el ASA siempre adopta de forma predeterminada el servicio WebVPN. Por ejemplo, considere estos datos y puntos de configuración de ASA;

rtpvpnoutbound6# show run ip
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.150.172.46 255.255.252.0 
!
interface Vlan3
 nameif dmz
 security-level 50
 ip address dhcp 
!
interface Vlan5
 nameif test
 security-level 0
 ip address 1.1.1.1 255.255.255.255 pppoe setroute 
!
rtpvpnoutbound6# show run web
webvpn
 enable outside
 enable dmz
 anyconnect image disk0:/anyconnect-win-3.1.06078-k9.pkg 1
 anyconnect image disk0:/anyconnect-macosx-i386-3.1.06079-k9.pkg 2
 anyconnect enable
 tunnel-group-list enable
 tunnel-group-preference group-url

rtpvpnoutbound6#  show run http
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 dmz
http 0.0.0.0 0.0.0.0 outside

rtpvpnoutbound6# show run tun
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool ap_fw-policy
 authentication-server-group ldap2
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 group-url https://rtpvpnoutbound6.cisco.com/admin enable
 without-csd

Solución

Para resolver este problema, puede utilizar la URL apropiada para acceder al servicio respectivo o cambiar el puerto en el que se accede a los servicios.

Nota: Una desventaja con esta última solución es que el puerto se cambia globalmente, por lo que cada interfaz se ve afectada por el cambio.

Utilice la URL adecuada

En el ejemplo de datos de configuración proporcionados en la sección Problema, HTTPS puede alcanzar la interfaz externa del ASA a través de estas dos URL:

https://<ip-address> <=> https://10.150.172.46
https://<domain-name> <=> https://rtpvpnoutbound6.cisco.com

Sin embargo, si intenta acceder a estas URL mientras el servicio WebVPN está habilitado, el ASA le redirige al portal WebVPN:

https://rtpvpnoutbound6.cisco.com/+CSCOE+/logon.html

Para acceder a ASDM, puede utilizar esta URL:

https://rtpvpnoutbound6.cisco.com/admin

Nota: Como se muestra en los datos de configuración de ejemplo, el grupo de túnel predeterminado tiene un group-url definido con el uso del comando group-url https://rtpvpnoutbound6.cisco.com/admin enable, que debería entrar en conflicto con el acceso ASDM. Sin embargo, la URL https://<ip-address/domain>/admin está reservada para el acceso ASDM, y si lo configura en el grupo de túnel, no hay ningún efecto. Siempre se le redirige a https://<ip-address/domain>/admin/public/index.html.

Cambiar el puerto en el que escucha cada servicio

Esta sección describe cómo cambiar el puerto para los servicios ASDM y WebVPN.

Cambiar globalmente el puerto del servicio de servidor HTTPS

Complete estos pasos para cambiar el puerto para el servicio ASDM:

  1. Habilite el servidor HTTPS para escuchar en un puerto diferente para cambiar la configuración relacionada con el servicio ASDM en el ASA, como se muestra aquí:
    ASA(config)#http server enable <1-65535>

    configure mode commands/options:
      <1-65535>  The management server's SSL listening port. TCP port 443 is the
                 default.
    Aquí tiene un ejemplo:
    ASA(config)#http server enable 65000
  2. Después de cambiar la configuración de puerto predeterminada, utilice este formato para iniciar el ASDM desde un navegador web soportado en la red del dispositivo de seguridad:
    https://interface_ip_address:
    Aquí tiene un ejemplo:
    https://192.168.1.1:65000

Cambiar globalmente el puerto del servicio WebVPN

Complete estos pasos para cambiar el puerto para el servicio WebVPN:

  1. Permita que WebVPN escuche en un puerto diferente para cambiar la configuración relacionada con el servicio WebVPN en el ASA:

    1. Habilite la función WebVPN en el ASA:
      ASA(config)#webvpn
    2. Habilite el servicio WebVPN para la interfaz exterior del ASA:
      ASA(config-webvpn)#enable outside
    3. Permita que ASA escuche el tráfico WebVPN en el número de puerto personalizado:
      ASA(config-webvpn)#port <1-65535>

      webvpn mode commands/options:
        <1-65535>  The WebVPN server's SSL listening port. TCP port 443 is the
                   default.
    Aquí tiene un ejemplo:
    ASA(config)#webvpn
    ASA(config-webvpn)#enable outside
    ASA(config-webvpn)#port 65010
  2. Después de cambiar la configuración predeterminada del puerto, abra un navegador web admitido y utilice este formato para conectarse al servidor WebVPN:
    https://interface_ip_address:
    Aquí tiene un ejemplo:
    https://192.168.1.1:65010

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
23-Mar-2015
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Atri Basu
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco