ASA/PIX: Ejemplo de Configuración del Servidor VPN Remoto con NAT Entrante para el Tráfico de Cliente VPN con CLI y ASDM

Introducción

Este documento describe cómo configurar Cisco 5500 Series Adaptive Security Appliance (ASA) para que actúe como servidor VPN remoto mediante el Adaptive Security Device Manager (ASDM) o la CLI y NAT el tráfico entrante del cliente VPN. El ASDM ofrece administración de seguridad de talla mundial y monitoreo a través de una Interfaz de administración basada en la Web intuitiva, fácil de utilizar. Una vez completada la configuración de Cisco ASA, se puede verificar a través de Cisco VPN Client.

Prerequisites

Requirements

Este documento asume que el ASA está completamente operativo y está configurado para permitir que el ASDM de Cisco o el CLI realice los cambios de configuración. También se supone que ASA está configurado para NAT de salida. Refiérase a Permitir el Acceso de Hosts Internos a Redes Externas con el Uso de PAT para obtener más información sobre cómo configurar NAT de Salida.

Nota: Refiérase a Cómo Permitir el Acceso HTTPS para ASDM o PIX/ASA 7.x: SSH en el Ejemplo de Configuración de la Interfaz Interna y Externa para permitir que el dispositivo sea configurado remotamente por ASDM o Secure Shell (SSH).

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco Adaptive Security Appliance Software Version 7.x y posterior

• Adaptive Security Device Manager Version 5.x y posterior

• Cisco VPN Client Version 4.x y posterior

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Productos Relacionados

Esta configuración también se puede usar con Cisco PIX Security Appliance Version 7.x y posterior.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

Las configuraciones del acceso remoto proporcionan el acceso remoto seguro para los clientes de Cisco VPN, tales como usuarios móviles. Una VPN de acceso remoto permite que los usuarios remotos accedan de forma segura a los recursos de red centralizada. El Cisco VPN Client cumple con el Protocolo IPSec y se está diseñado específicamente para funcionar con el dispositivo de seguridad. Sin embargo, el dispositivo de seguridad puede establecer las conexiones de IPSec con muchos clientes compatibles con el protocolo. Consulte Guías de Configuración de ASA para obtener más información sobre IPSec.

Los grupos y los usuarios son conceptos fundamentales en la administración de seguridad de los VPN y en la configuración del dispositivo de seguridad. Especifican los atributos que determinan el acceso de los usuarios y el uso de VPN. Un grupo es un conjunto de usuarios considerado una sola entidad. Los usuarios consiguen sus atributos de las políticas del grupo. Los grupos de túnel identifican la política de grupo para conexiones específicas. Si no asigna una directiva de grupo determinada a los usuarios, se aplica la directiva de grupo predeterminada para la conexión.

Un grupo de túnel consiste en un conjunto de registros que determina las políticas de conexión del túnel. Estos registros identifican los servidores a los que se autentican los usuarios del túnel, así como los servidores de cuentas, si los hay, a los que se envía la información de conexión. Ellos también identifican una política de grupo predeterminada para las conexiones, y contienen los parámetros de la conexión específicos del protocolo. Los grupos de túnel incluyen un pequeño número de atributos que pertenecen a la creación del túnel en sí. Los grupos de túnel incluyen un indicador a una política del grupo que define los atributos orientados hacia el usuario.

Configuraciones

Configuración de ASA/PIX como servidor VPN remoto con ASDM

Complete estos pasos para configurar Cisco ASA como un servidor VPN remoto con ASDM:

1. Abra su navegador e ingrese https://<IP_Address de la interfaz de ASA que se ha configurado para el acceso ASDM> para acceder al ASDM en el ASA.

   Asegúrese de autorizar cualquier advertencia que le proporcione su navegador en relación con la autenticidad del certificado SSL. El nombre de usuario y la contraseña predeterminados están en blanco.

   ASA presenta esta ventana para permitir la descarga de la aplicación ASDM. En este ejemplo se carga la aplicación en el equipo local y no se ejecuta en un subprograma Java.

   

2. Haga clic en Download ASDM Launcher and Start ASDM para descargar el instalador para la aplicación ASDM.

3. Una vez que se haya descargado el punto de ejecución de ASDM, complete los pasos indicados en las indicaciones para instalar el software y ejecutar el punto de ejecución de ASDM de Cisco.

4. Ingrese la dirección IP para la interfaz que configuró con el comando http -, y un nombre de usuario y contraseña si especificó uno.

   Este ejemplo utiliza cisco123 como nombre de usuario y cisco123 como contraseña.

   

5. Seleccione Wizards > IPsec VPN Wizard en la ventana principal.

   

6. Seleccione el tipo de túnel Remote Access VPN y asegúrese de que la interfaz de túnel VPN esté configurada como desee, y haga clic en Next como se muestra aquí.

   

7. Se elige el tipo de cliente VPN, como se muestra. Se elige aquí Cisco VPN Client. Haga clic en Next (Siguiente).

   

8. Ingrese un nombre para el Nombre de Grupo de Túnel. Ingrese la información de autenticación a utilizar, que es la clave previamente compartida en este ejemplo. La clave previamente compartida utilizada en este ejemplo es cisco123. El nombre de grupo de túnel utilizado en este ejemplo es cisco. Haga clic en Next (Siguiente).

   

9. Elija si desea que los usuarios remotos sean autenticados en las bases de datos de usuarios locales o en un grupo de servidores AAA externo.

   Nota: Agregue usuarios a la base de datos de usuarios local en el paso 10.

   Nota: Refiérase a Ejemplo de Configuración de Autenticación y Autorización de Grupos de Servidores PIX/ASA 7.x para Usuarios VPN a través de ASDM para obtener información sobre cómo configurar un grupo de servidores AAA externo con ASDM.

   

10. Proporcione un Nombre de usuario y una Contraseña opcional y haga clic en Agregar para agregar nuevos usuarios a la base de datos de autenticación de usuarios. Haga clic en Next (Siguiente).

    Nota: No elimine los usuarios existentes de esta ventana. Seleccione Configuration > Device Management > Users/AAA > User Accounts en la ventana principal de ASDM para editar entradas existentes en la base de datos o para eliminarlas de la base de datos.

    

11. Para definir un conjunto de direcciones locales que se asignarán dinámicamente a los clientes VPN remotos, haga clic en Nuevo para crear un nuevo conjunto IP.

    

12. En la nueva ventana llamada Add IP Pool, proporcione esta información y haga clic en OK.

    1. Nombre del pool IP

    2. Dirección IP inicial

    3. Dirección IP final

    4. Máscara de subnet

    

13. Después de definir el conjunto de direcciones locales que se asignarán dinámicamente a los clientes VPN remotos cuando se conecten, haga clic en Siguiente.

    

14. Opcional: especifique la información de los servidores DNS y WINS y un nombre de dominio predeterminado que se enviará a los clientes VPN remotos.

    

15. Especifique los parámetros para el IKE, también conocidos como fase 1. IKE.

    Las configuraciones a ambos lados del túnel deben coincidir de manera exacta. Sin embargo, el Cisco VPN Client selecciona automáticamente la configuración adecuada para sí mismo. Por lo tanto, no hay configuración IKE necesaria en PC del cliente.

    

16. Esta ventana muestra un resumen de las acciones que ha realizado. Haga clic en Finalizar si está satisfecho con la configuración.

    

Configuración de ASA/PIX para el tráfico de cliente de VPN entrante NAT con ASDM

Complete estos pasos para configurar el Cisco ASA para el tráfico de cliente de VPN entrante NAT con ASDM:

1. Elija Configuration > Firewall > Nat Rules, y haga clic en Add. En la lista desplegable, seleccione Add Dynamic NAT Rule.

   

2. En la ventana Add Dynamic NAT Rule, elija Outside como la interfaz, y haga clic en el botón Browse junto al cuadro Source.

   

3. En la ventana Browse Source, seleccione los objetos de red adecuados y también elija el origen en la sección Selected Source, y haga clic en OK. Aquí se elige el objeto de red 192.168.1.0.

   

4. Haga clic en Administrar.

   

5. En la ventana Manage Global Pool, haga clic en Add.

   

6. En la ventana Add Global Address Pool, elija Inside como la interfaz y 2 como el Pool ID. También asegúrese de que el botón de opción junto a PAT using IP Address of the interface esté seleccionado. Haga clic en Agregar>> y, a continuación, haga clic en Aceptar.

   

7. Haga clic en Aceptar después de seleccionar el pool global con el Pool ID 2 configurado en el paso anterior.

   

8. Ahora haga clic en Apply para que la configuración se aplique al ASA.Esto completa la configuración.

   

Configure ASA/PIX como un servidor VPN remoto y para NAT entrante con la CLI

ciscoasa#show running-config 

: Saved
ASA Version 8.0(3)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif Outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa803-k8.bin
ftp mode passive
access-list inside_nat0_outbound extended permit ip any 192.168.1.0 255.255.255
0
pager lines 24
logging enable
mtu Outside 1500
mtu inside 1500
ip local pool vpnpool 192.168.1.1-192.168.1.254 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-615.bin
asdm history enable
arp timeout 14400
nat-control
global (Outside) 1 interface
global (inside) 2 interface
nat (Outside) 2 192.168.1.0 255.255.255.0 outside
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
route Outside 0.0.0.0 0.0.0.0 10.10.10.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
no snmp-server location
no snmp-server contact


!--- Configuration for IPsec policies. !--- Enables the crypto transform configuration mode, !--- where you can specify the transform sets that are used !--- during an IPsec negotiation.

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SH
 ESP-DES-MD5
crypto map Outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map Outside_map interface Outside
crypto isakmp enable Outside


!--- Configuration for IKE policies. !--- Enables the IKE policy configuration (config-isakmp) !--- command mode, where you can specify the parameters that !--- are used during an IKE negotiation. Encryption and !--- Policy details are hidden as the default values are chosen. 

crypto isakmp policy 10
authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400
crypto isakmp policy 30
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400
telnet timeout 5
ssh timeout 60
console timeout 0
management-access inside
threat-detection basic-threat
threat-detection statistics access-list
group-policy cisco internal
group-policy cisco attributes
 vpn-tunnel-protocol IPSec


!--- Specifies the username and password with their !--- respective privilege levels

username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 0

username cisco attributes
 vpn-group-policy cisco
tunnel-group cisco type remote-access
tunnel-group cisco general-attributes
 address-pool vpnpool
 default-group-policy cisco


!--- Specifies the pre-shared key "cisco123" which must !--- be identical at both peers. This is a global !--- configuration mode command.

tunnel-group cisco ipsec-attributes
 pre-shared-key *
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f2ad6f9d5bf23810a26f5cb464e1fdf3
: end
ciscoasa#

Verificación

Intente conectarse a Cisco ASA a través de Cisco VPN Client para verificar que ASA se haya configurado correctamente.

1. Haga clic en New.

   

2. Complete la información de su nueva conexión.

   El campo Host debe contener la dirección IP o el nombre de host del Cisco ASA configurado previamente. La información de autenticación de grupo debe corresponderse con la utilizada en el paso 4. Haga clic en Guardar cuando haya terminado.

   

3. Seleccione la conexión creada recientemente, y el haga clic en Conectar.

   

4. Ingrese un nombre de usuario y contraseña para la autenticación ampliada. Esta información debe coincidir con la especificada en los pasos 5 y 6.

   

5. Una vez que la conexión se haya establecido correctamente, elija Statistics en el menú Status para verificar los detalles del túnel.

   

   Esta ventana muestra el tráfico y la información crypto:

   

   Esta ventana muestra la información de la tunelización dividida:

   

Dispositivo de seguridad ASA/PIX - Comandos show

• show crypto isakmp sa — Muestra todas las IKE SAs actuales en un par.

  ASA#show crypto isakmp sa
  
        Active SA: 1
      Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
  Total IKE SA: 1
  
  1   IKE Peer: 10.10.10.1
      Type    : user            Role    : responder
      Rekey   : no              State   : AM_ACTIVE

• show crypto ipsec sa—Muestra todas las SA IPSec actuales en un par.

  ASA#show crypto ipsec sa
  			interface: Outside
      Crypto map tag: SYSTEM_DEFAULT_CRYPTO_MAP, seq num: 65535, local addr: 10.10
  .10.2
  
        local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/0/0)
        current_peer: 10.10.10.1, username: cisco123
        dynamic allocated peer ip: 192.168.1.1
  
        #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20
        #pkts decaps: 74, #pkts decrypt: 74, #pkts verify: 74
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0
        #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
        #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
        #send errors: 0, #recv errors: 0
  
        local crypto endpt.: 10.10.10.2, remote crypto endpt.: 10.10.10.1
  
        path mtu 1500, ipsec overhead 58, media mtu 1500
        current outbound spi: F49F954C
  
      inbound esp sas:
        spi: 0x3C10F9DD (1007745501)
           transform: esp-des esp-md5-hmac none
           in use settings ={RA, Tunnel, }
           slot: 0, conn_id: 24576, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
           sa timing: remaining key lifetime (sec): 27255
           IV size: 8 bytes
           replay detection support: Y
      outbound esp sas:
        spi: 0xF49F954C (4104099148)
           transform: esp-des esp-md5-hmac none
           in use settings ={RA, Tunnel, }
           slot: 0, conn_id: 24576, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
           sa timing: remaining key lifetime (sec): 27255
           IV size: 8 bytes
           replay detection support: Y

• ciscoasa(config)#debug icmp trace
  
  !--- Inbound Nat Translation is shown below for Outside to Inside
  
  ICMP echo request translating Outside:192.168.1.1/768 to inside:172.16.1.2/1
  ICMP echo reply from inside:172.16.1.3 to Outside:172.16.1.2 ID=1 seq=7936 len=3
  2
  
  !--- Inbound Nat Translation is shown below for Inside to Outside
  
  ICMP echo reply untranslating inside:172.16.1.2/1 to Outside:192.168.1.1/768
  ICMP echo request from Outside:192.168.1.1 to inside:172.16.1.3 ID=768 seq=8192
  len=32
  ICMP echo request translating Outside:192.168.1.1/768 to inside:172.16.1.2/1
  ICMP echo reply from inside:172.16.1.3 to Outside:172.16.1.2 ID=1 seq=8192 len=3
  2
  ICMP echo reply untranslating inside:172.16.1.2/1 to Outside:192.168.1.1/768
  ICMP echo request from 192.168.1.1 to 172.16.1.2 ID=768 seq=8448 len=32
  ICMP echo reply from 172.16.1.2 to 192.168.1.1 ID=768 seq=8448 len=32
  ICMP echo request from 192.168.1.1 to 172.16.1.2 ID=768 seq=8704 len=32
  ICMP echo reply from 172.16.1.2 to 192.168.1.1 ID=768 seq=8704 len=32
  ICMP echo request from 192.168.1.1 to 172.16.1.2 ID=768 seq=8960 len=32
  ICMP echo reply from 172.16.1.2 to 192.168.1.1 ID=768 seq=8960 len=32

Troubleshoot

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Consulte Soluciones de Troubleshooting de VPN IPSec de Acceso Remoto y L2L Más Comunes para obtener más información sobre cómo resolver problemas de VPN de Sitio-Sitio.

Información Relacionada

• Cisco ASA 5500 Series Adaptive Security Appliances
• Cisco Adaptive Security Device Manager
• Alertas y Troubleshooting de Cisco ASA 5500 Series Adaptive Security Appliances
• Soporte Técnico y Documentación - Cisco Systems