ASA 7.2(2): Ejemplo de Configuración de SSL VPN Client (SVC) para Public Internet VPN en un Stick

Introducción

Este documento describe cómo configurar Adaptive Security Appliance (ASA) 7.2.2 para realizar SSL VPN en un solo sentido. Esta configuración se aplica a un caso específico en el que ASA no permite tunelización dividida y los usuarios se conectan directamente al ASA antes de que se les permita entrar a Internet.

Nota: En la versión 7.2.2 de ASA, el la palabra clave intra-interface del comando same-security-traffic permit configuration mode permite que todo el tráfico entre y salga de la misma interfaz (no sólo el tráfico IPsec).

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

• El dispositivo de seguridad ASA del hub debe ejecutar la versión 7.2.2

• Cisco SSL VPN Client (SVC) 1.x

  Nota: Descargue el paquete SSL VPN Client (sslclient-win*.pkg) de Cisco Software Download (sólo clientes registrados) . Copie el SVC a la memoria flash en el ASA. El SVC se debe descargar a los equipos de los usuarios remotos para establecer la conexión VPN SSL con el ASA. Refiérase a la sección Instalación del Software SVC de la Guía de Configuración de Línea de Comandos de Cisco Security Appliance, Versión 7.2 para obtener más información.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco 5500 Series Adaptive Security Appliance (ASA) que ejecuta la versión de software 7.2(2)

• Cisco SSL VPN Client versión para Windows 1.1.4.179

• PC con Windows 2000 Professional o Windows XP

• Versión 5.2(2) de Cisco Adaptive Security Device Manager (ASDM)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

El SSL VPN Client (SVC) es una tecnología de tunelación VPN que ofrece a los usuarios remotos las ventajas de un cliente VPN IPSec sin necesidad de que los administradores de red instalen y configuren clientes VPN IPSec en equipos remotos. El SVC utiliza el cifrado SSL que ya está presente en el equipo remoto, así como el inicio de sesión de WebVPN y la autenticación del dispositivo de seguridad.

Para establecer una sesión SVC, el usuario remoto introduce la dirección IP de una interfaz WebVPN del dispositivo de seguridad en el navegador, y el navegador se conecta a esa interfaz y muestra la pantalla de inicio de sesión de WebVPN. Si el usuario satisface los requisitos de inicio de sesión y autenticación, y el dispositivo de seguridad identifica al usuario como solicitante del SVC, el dispositivo de seguridad descarga el SVC en el equipo remoto. Si el dispositivo de seguridad identifica que el usuario tiene la opción de utilizar el SVC, el dispositivo de seguridad descarga el SVC en el equipo remoto mientras presenta un enlace en la pantalla del usuario para omitir la instalación del SVC.

Después de la descarga, el SVC se instala y configura, y luego el SVC permanece o se desinstala (según la configuración) del equipo remoto cuando la conexión termina.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son direcciones RFC 1918 que se han utilizado en un entorno de laboratorio.

Configuraciones de ASA 7.2(2) con ASDM 5.2(2)

Este documento asume que las configuraciones básicas, tales como la configuración de la interfaz, ya están hechas y funcionan correctamente.

Nota: Consulte Cómo Permitir el Acceso HTTPS para ASDM para permitir que el ASA sea configurado por el ASDM.

Nota: WebVPN y ASDM no se pueden habilitar en la misma interfaz ASA a menos que cambie los números de puerto. Consulte ASDM y WebVPN Habilitados en la Misma Interfaz de ASA para obtener más información.

Complete estos pasos para configurar el SSL VPN en un palo en ASA:

1. Elija Configuration > Interfaces, y marque la casilla de verificación Enable traffic between two or more hosts connected to the same interface para permitir que el tráfico SSL VPN ingrese y salga de la misma interfaz.

2. Haga clic en Apply (Aplicar).

   

   Nota: Este es el comando de configuración CLI equivalente:

   Cisco ASA 7.2(2)
   ciscoasa(config)#same-security-traffic permit intra-interface

3. Elija Configuration > VPN > IP Address Management > IP Pools > Add para crear un pool de direcciones IP llamado vpnpool.

   

4. Haga clic en Apply (Aplicar).

   Nota: Este es el comando de configuración CLI equivalente:

   Cisco ASA 7.2(2)
   ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254

5. Habilite WebVPN:

   1. Elija Configuration > VPN > WebVPN > WebVPN Access, y seleccione la interfaz externa.

   2. Haga clic en Enable.

   3. Marque la casilla de verificación Enable Tunnel Group Drop-down List on WebVPN Login Page para permitir que los usuarios elijan sus respectivos grupos desde la página de inicio de sesión.

      

   4. Haga clic en Apply (Aplicar).

   5. Elija Configuration > VPN > WebVPN > SSL VPN Client > Add para agregar la imagen SSL VPN Client de la memoria flash de ASA.

      

   6. Click OK.

      

   7. Click OK.

   8. Haga clic en la casilla de verificación SSL VPN Client.

      

   Nota: Estos son los comandos de configuración CLI equivalentes:

   Cisco ASA 7.2(2)
   ciscoasa(config)#webvpn ciscoasa(config-webvpn)#enable outside ciscoasa(config-webvpn)#svc image disk0:/sslclient-win-1.1.4.179.pkg 1 ciscoasa(config-webvpn)#tunnel-group-list enable ciscoasa(config-webvpn)#svc enable

6. Configure la política de grupo:

   1. Elija Configuration > VPN > General > Group Policy > Add (Internal Group Policy) para crear una política de grupo interna denominada clientgroup.

   2. Haga clic en la pestaña General, y seleccione la casilla de verificación WebVPN para habilitar el WebVPN como protocolo de tunelización.

      

   3. Haga clic en la pestaña Client Configuration y luego haga clic en la pestaña General Client Parameters.

   4. Elija Tunnel All Networks de la lista desplegable Split Tunnel Policy para hacer que todos los paquetes viajen desde el PC remoto a través de un túnel seguro.

      

   5. Haga clic en la pestaña WebVPN > SSLVPN Client y elija estas opciones:

      1. Para la opción Use SSL VPN Client, desmarque la casilla de verificación Inherit, y haga clic en el botón de radio Optional.

         Esta opción permite que el cliente remoto elija si desea o no descargar el SVC. La opción Always garantiza que el SVC se descarga en la estación de trabajo remota durante cada conexión VPN SSL.

      2. Para la opción Mantener el instalador en el sistema cliente, desmarque la casilla de verificación Heredar y haga clic en el botón de opción Sí

         Esta opción permite que el software SVC permanezca en la máquina cliente. Por lo tanto, no es necesario que el ASA descargue el software SVC al cliente cada vez que se hace una conexión. Esta opción es una buena opción para los usuarios remotos que suelen acceder a la red corporativa.

      3. Para la opción Intervalo de Renegociación, desmarque la casilla Inherit, desmarque la casilla de selección Unlimited, e ingrese el número de minutos hasta la generación de la nueva clave.

         Nota: La seguridad se mejora al establecer límites de tiempo durante el cual una clave es válida.

      4. Para la opción Método de Renegociación, desmarque la casilla de selección Inherit, y haga clic el botón de opción SSL.

         Nota: La renegociación puede utilizar el túnel SSL actual o un túnel nuevo creado específicamente para la renegociación.

      Los atributos de SSL VPN Client deben configurarse como se muestra en esta imagen:

      

   6. Haga clic en Aceptar y, a continuación, haga clic en Aplicar.

      

   Nota: Estos son los comandos de configuración CLI equivalentes:

   Cisco ASA 7.2(2)

   ciscoasa(config)#group-policy clientgroup internal ciscoasa(config)#group-policyclientgroup attributes ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn ciscoasa(config-group-policy)#split-tunnel-policy tunnelall ciscoasa(config-group-policy)#webvpn ciscoasa(config-group-webvpn)#svc required ciscoasa(config-group-webvpn)#svc keep-installer installed ciscoasa(config-group-webvpn)#svc rekey time 30 ciscoasa(config-group-webvpn)#svc rekey method ssl

7. Elija Configuration > VPN > General > Users > Add para crear una nueva cuenta de usuario ssluser1.

8. Haga clic en Aceptar y, a continuación, haga clic en Aplicar.

   

   Nota: Este es el comando CLI equivalente:

   Cisco ASA 7.2(2)
   ciscoasa(config)#username ssluser1 password asdmASA@

9. Elija Configuration > Properties > AAA Setup > AAA Servers Groups > Edit.

10. Seleccione el grupo de servidores predeterminado LOCAL y haga clic en Editar.

11. En el cuadro de diálogo Editar grupo de servidores LOCAL, haga clic en la casilla de verificación Habilitar bloqueo de usuario local y escriba 16 en el cuadro de texto Máximo de intentos.

12. Click OK.

    

    Nota: Este es el comando CLI equivalente:

    Cisco ASA 7.2(2)
    ciscoasa(config)#aaa local authentication attempts max-fail 16

13. Configure el grupo de túnel:

    1. Elija Configuration > VPN > General > Tunnel Group > Add(WebVPN access) para crear un nuevo grupo de túnel llamado sslgroup.

    2. Haga clic en la ficha General y, a continuación, haga clic en la ficha Basic.

    3. Elija clientgroup en la lista desplegable Directiva de grupo.

       

    4. Haga clic en la pestaña Asignación de Dirección de Cliente, y luego haga clic en Agregar para asignar el conjunto de direcciones disponible vpnpool.

       

    5. Haga clic en la pestaña WebVPN y, a continuación, haga clic en la pestaña Alias de grupo y URL.

    6. Escriba el nombre de alias en el cuadro de parámetro y haga clic en Agregar para agregarlo a la lista de nombres de grupo en la página Inicio de sesión.

       

    7. Haga clic en Aceptar y, a continuación, haga clic en Aplicar.

    Nota: Estos son los comandos de configuración CLI equivalentes:

    Cisco ASA 7.2(2)
    ciscoasa(config)#tunnel-group sslgroup type webvpn ciscoasa(config)#tunnel-group sslgroup general-attributes ciscoasa(config-tunnel-general)#address-pool vpnpool ciscoasa(config-tunnel-general)#default-group-policy clientgroup ciscoasa(config-tunnel-general)#exit ciscoasa(config)#tunnel-group sslgroup webvpn-attributes ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

14. Configure el NAT:

    1. Elija Configuration > NAT > Add > Add Dynamic NAT Rule para permitir que el tráfico que proviene de la red interna se traduzca con el uso de la dirección IP externa 172.16.1.5.

       

    2. Click OK.

    3. Elija Configuration > NAT > Add > Add Dynamic NAT Rule para permitir que el tráfico que proviene de la red externa 192.168.10.0 se traduzca con el uso de la dirección IP externa 172.16.1.5.

       

    4. Click OK.

       

    5. Haga clic en Apply (Aplicar).

    Nota: Estos son los comandos de configuración CLI equivalentes:

    Cisco ASA 7.2(2)
    ciscoasa(config)#global (outside) 1 172.16.1.5 ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0 ciscoasa(config)#nat (outside) 1 192.168.10.0 255.255.255.0

Configuración CLI de ASA 7.2(2)

ciscoasa#show running-config
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit intra-interface


!--- Command that permits the SSL VPN traffic to enter !--- and exit the same interface.


access-list 100 extended permit icmp any any
pager lines 24
mtu inside 1500
mtu outside 1500

ip local pool vpnpool 192.168.10.1-192.168.10.254


!--- The address pool for the SSL VPN Clients.


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP.


nat (inside) 1 0.0.0.0 0.0.0.0


!--- The NAT statement to define what to encrypt !--- (the addresses from vpn-pool).


nat (outside) 1 192.168.10.0 255.255.255.0

access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:0
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:
timeout uauth 0:05:00 absolute
group-policy clientgroup internal


!--- Create an internal group policy "clientgroup."


group-policy clientgroup attributes
 vpn-tunnel-protocol webvpn


!--- Enable webvpn as tunneling protocol.


 split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.


 webvpn
  svc required
  

!--- Activate the SVC under webvpn mode


svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, they renegotiate !--- the crypto keys and initialization vectors, increasing the security of !--- the connection.


svc rekey time 30


--- Command that specifies the number of minutes from the start of the !--- session until the rekey takes place, from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation takes place during SVC rekey. 


username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create an user account "ssluser1."


aaa local authentication attempts max-fail 16


!--- Enable the AAA local authentication.


http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
tunnel-group sslgroup type webvpn


!--- Create a tunnel group "sslgroup" with type as WebVPN.


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created.


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created.


tunnel-group sslgroup webvpn-attributes

 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users.


telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface.


 svc image disk0:/sslclient-win-1.1.4.179.pkg 1


!--- Assign an order to the SVC image.


 svc enable


!--- Enable the security appliance to download SVC images to remote computers.


 tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page.


prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa#

Establezca la Conexión VPN SSL con el SVC

Siga estos pasos para establecer una conexión VPN SSL con el ASA.

1. Escriba en el campo Dirección de su navegador web la URL o dirección IP para la interfaz WebVPN del ASA.

   Por ejemplo:

   https://<IP address of the ASA WebVPN interface>

   

2. Introduzca su nombre de usuario y contraseña y, a continuación, seleccione el grupo correspondiente en la lista desplegable Grupo.

   

   Nota: El software ActiveX debe estar instalado en su equipo antes de descargar SSL VPN Client.

   

   Este cuadro de diálogo aparece cuando se establece la conexión:

   

   Este mensaje aparece una vez que se establece la conexión:

   

3. Una vez establecida la conexión, haga doble clic en el icono de tecla amarilla que aparece en la barra de tareas del equipo.

   El cuadro de diálogo Cisco Systems SSL VPN Client muestra información sobre la conexión SSL.

   

   

   

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

• show webvpn svc: muestra las imágenes SVC almacenadas en la memoria flash ASA.

  ciscoasa#show webvpn svc
  1. disk0:/sslclient-win-1.1.4.179.pkg 1
    CISCO STC win2k+ 1.0.0
    1,1,4,179
    Fri 01/18/2008 15:19:49.43
  
  1 SSL VPN Client(s) installed
  

• show vpn-sessiondb svc: muestra la información acerca de las conexiones SSL actuales.

  ciscoasa#show vpn-sessiondb svc
  
  Session Type: SVC
  
  Username     : ssluser1
  Index        : 1
  Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
  Protocol     : SVC                    Encryption   : 3DES
  Hashing      : SHA1
  Bytes Tx     : 131813                 Bytes Rx     : 5082
  Client Type  : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
  Client Ver   : Cisco Systems SSL VPN Client 1, 1, 4, 179
  Group Policy : clientgroup
  Tunnel Group : sslgroup
  Login Time   : 12:38:47 UTC Mon Mar 17 2008
  Duration     : 0h:00m:53s
  Filter Name  :

• show webvpn group-alias: muestra el alias configurado para varios grupos.

  ciscoasa#show webvpn group-alias
  Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled
  

• En ASDM, elija Monitoring > VPN > VPN Statistics > Sessions para ver información sobre las sesiones WebVPN actuales en ASA.

  

Troubleshoot

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

• vpn-sessiondb logoff name <username>: permite cerrar la sesión VPN SSL para el nombre de usuario especificado.

  ciscoasa#vpn-sessiondb logoff name ssluser1
  Called vpn_remove_uauIth: success!
  webvpn_svc_np_tear_down: no ACL
  NFO: Number of sessions with name "ssluser1" logged off : 1
  
  

  De manera similar, puede utilizar el comando vpn-sessiondb logoff svc para terminar todas las sesiones SVC.

  Nota: Si el PC pasa al modo de espera o hibernación, la conexión VPN SSL se puede terminar.

  webvpn_rx_data_cstp
  webvpn_rx_data_cstp: got message
  SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, etc)
  Called vpn_remove_uauth: success!
  webvpn_svc_np_tear_down: no ACL
  

  ciscoasa#show vpn-sessiondb svc
  INFO: There are presently no active sessions

• Debug webvpn svc <1-255>: proporciona los eventos WebVPN en tiempo real para establecer la sesión.

  Ciscoasa#debug webvpn svc 7 
  
  ATTR_CISCO_AV_PAIR: got SVC ACL: -1
  webvpn_rx_data_tunnel_connect
  CSTP state = HEADER_PROCESSING
  http_parse_cstp_method()
  ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
  webvpn_cstp_parse_request_field()
  ...input: 'Host: 172.16.1.1'
  Processing CSTP header line: 'Host: 172.16.1.1'
  webvpn_cstp_parse_request_field()
  ...input: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4, 179'
  Processing CSTP header line: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4,
  179'
  Setting user-agent to: 'Cisco Systems SSL VPN Client 1, 1, 4, 179'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Version: 1'
  Processing CSTP header line: 'X-CSTP-Version: 1'
  Setting version to '1'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Hostname: tacweb'
  Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
  Setting hostname to: 'tacweb'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
  Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
  webvpn_cstp_parse_request_field()
  ...input: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486
  D5BC554D2'
  Processing CSTP header line: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1
  CF236DB5E8BE70B1486D5BC554D2'
  Found WebVPN cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1
  486D5BC554D2'
  WebVPN Cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486D5B
  C554D2'
  Validating address: 0.0.0.0
  CSTP state = WAIT_FOR_ADDRESS
  webvpn_cstp_accept_address: 192.168.10.1/0.0.0.0
  CSTP state = HAVE_ADDRESS
  No subnetmask... must calculate it
  SVC: NP setup
  webvpn_svc_np_setup
  SVC ACL Name: NULL
  SVC ACL ID: -1
  SVC ACL ID: -1
  vpn_put_uauth success!
  SVC: adding to sessmgmt
  SVC: Sending response
  CSTP state = CONNECTED
  

• En ASDM, elija Monitoring > Logging > Real-time Log Viewer > View para ver los eventos en tiempo real. Estos ejemplos muestran información de sesión entre el SVC 192.168.10.1 y el servidor web 10.2.2.2 en Internet a través de ASA 172.16.1.5.

  

Información Relacionada

• Página de Soporte de Cisco 5500 Series Adaptive Security Appliance
• Ejemplo de Configuración de PIX/ASA 7.x y VPN Client para Public Internet VPN en un Solo Sentido
• Ejemplo de Configuración de SSL VPN Client (SVC) en ASA con ASDM
• Soporte Técnico y Documentación - Cisco Systems