Exemple de configuration d'un accès ASA à l'ASDM à partir d'une interface interne sur un tunnel VPN

Introduction

Ce document décrit comment configurer un tunnel VPN LAN à LAN à l'aide de deux pare-feu Cisco ASA (Adaptive Security Appliance). Cisco Adaptive Security Device Manager (ASDM) s'exécute sur l'ASA distant via l'interface externe côté public et crypte le trafic réseau et ASDM standard. L'ASDM est un outil de configuration basé sur un navigateur conçu pour vous aider à installer, configurer et surveiller votre pare-feu ASA avec une interface utilisateur graphique. Vous n'avez pas besoin d'une connaissance approfondie de l'interface CLI du pare-feu ASA. 

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Chiffrement IPsec
• Cisco ASDM

Remarque : assurez-vous que tous les périphériques utilisés dans votre topologie répondent aux exigences décrites dans le Guide d'installation matérielle de la gamme Cisco ASA 5500.

Conseil : reportez-vous à l'article Cisco An Introduction to IP Security (IPSec) Encryption afin de vous familiariser avec le cryptage IPsec de base.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Logiciel pare-feu Cisco ASA version 9.x
  
  
• ASA-1 et ASA-2 sont des pare-feu Cisco ASA 5520
  
  
• ASA 2 utilise la version 7.2(1) d'ASDM

Remarque : lorsque vous êtes invité à saisir un nom d'utilisateur et un mot de passe pour l'ASDM, les paramètres par défaut ne nécessitent pas de nom d'utilisateur. Si un mot de passe enable a déjà été configuré, entrez ce mot de passe comme mot de passe ASDM. S'il n'y a pas de mot de passe enable, laissez les entrées username et password vides et cliquez sur OK afin de continuer.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurer

Utilisez les informations décrites dans cette section afin de configurer les fonctionnalités qui sont décrites dans ce document.

Diagramme du réseau

Configurations

Voici la configuration qui est utilisée sur ASA-1 :

ASA-1
 
ASA Version 9.1(5)
!
hostname ASA-1
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 203.0.113.2 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.18.124.1 255.255.255.0
!
 
!--- Traffic matching ACL 101 is punted to VPN
!--- Encrypt/Decrypt traffic matching ACL 101 

access-list 101 extended permit ip 172.18.124.0 255.255.255.0 192.168.10.0
 255.255.255.0

!--- Do not use NAT
!--- on traffic matching below Identity NAT

object network obj_192.168.10.0
subnet 192.168.10.0 255.255.255.0

object network obj_172.18.124.0
subnet 172.18.124.0 255.255.255.0

nat (inside,outside) source static obj_172.18.124.0 obj_172.18.124.0 destination
 static obj_192.168.10.0 obj_192.168.10.0 no-proxy-arp route-lookup

!--- Configures a default route towards the gateway router.

route outside 0.0.0.0 0.0.0.0 203.0.113.252 1

!--- Point the configuration to the appropriate version of ASDM in flash

asdm image asdm-722.bin

!--- Enable the HTTP server required to run ASDM.
 
http server enable
 
!--- This is the interface name and IP address of the host or 
!--- network that initiates the HTTP connection.
 
http 172.18.124.102 255.255.255.255 inside
 
!--- Implicitly permit any packet that came from an IPsec 
!--- tunnel and bypass the checking of an associated access-group
!--- command statement for IPsec connections.
 
sysopt connection permit-vpn
 
!--- Specify IPsec (phase 2) transform set.
!--- Specify IPsec (phase 2) attributes.

crypto ipsec ikev1 transform-set vpn esp-3des esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto map vpn 10 match address 101
crypto map vpn 10 set peer 198.51.100.2
crypto map vpn 10 set ikev1 transform-set vpn
crypto map vpn interface outside
 
!--- Specify ISAKMP (phase 1) attributes.
  
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
 
!--- Specify tunnel-group ipsec attributes.
 
tunnel-group 198.51.100.2 type ipsec-l2l
tunnel-group 198.51.100.2 ipsec-attributes
ikev1 pre-shared-key cisco

Voici la configuration qui est utilisée sur ASA-2 :

ASA-2
 
ASA Version 9.1(5)
!
hostname ASA-2
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 198.51.100.2 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
!
  
!--- Traffic matching ACL 101 is punted to VPN
!--- Encrypt/Decrypt traffic matching ACL 101 

access-list 101 extended permit ip 192.168.10.0 255.255.255.0 172.18.124.0
 255.255.255.0
 
!--- Do not use NAT 
!--- on traffic matching below Identity NAT
 
object network obj_192.168.10.0
subnet 192.168.10.0 255.255.255.0
 
object network obj_172.18.124.0
subnet 172.18.124.0 255.255.255.0
 
nat (inside,outside) source static obj_192.168.10.0 obj_192.168.10.0 destination
 static obj_172.18.124.0 obj_172.18.124.0 no-proxy-arp route-lookup

!--- Configures a default route towards the gateway router.
 
route outside 0.0.0.0 0.0.0.0 198.51.100.252 1
 
!--- Point the configuration to the appropriate version of ASDM in flash

asdm image asdm-722.bin
 
!--- Enable the HTTP server required to run ASDM.
 
http server enable
 
!--- This is the interface name and IP address of the host or 
!--- network that initiates the HTTP connection.
 
http 192.168.10.102 255.255.255.255 inside

!--- Add an aditional 'http' configuration to allow the remote subnet
!--- to access ASDM over the VPN tunnel

http 172.18.124.0 255.255.255.0 outside
 
!--- Implicitly permit any packet that came from an IPsec 
!--- tunnel and bypass the checking of an associated access-group 
!--- command statement for IPsec connections.
 
sysopt connection permit-vpn
 
!--- Specify IPsec (phase 2) transform set.
!--- Specify IPsec (phase 2) attributes.

crypto ipsec ikev1 transform-set vpn esp-3des esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto map vpn 10 match address 101
crypto map vpn 10 set peer 203.0.113.2
crypto map vpn 10 set ikev1 transform-set vpn
crypto map vpn interface outside
 
!--- Specify ISAKMP (phase 1) attributes.
  
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
  
!--- Specify tunnel-group ipsec attributes.
 
tunnel-group 203.0.113.2 type ipsec-l2l
tunnel-group 203.0.113.2 ipsec-attributes
ikev1 pre-shared-key cisco

Accéder à ASDM/SSH via un tunnel VPN

Pour accéder à l'ASDM via l'interface interne d'ASA-2 à partir du réseau interne d'ASA-1, vous devez utiliser la commande décrite ici. Cette commande ne peut être utilisée que pour une interface. Sur ASA-2, configurez management-access avec la commande management-access inside :

management-access 
       
       

Vérifier

Cette section fournit des informations que vous pouvez utiliser afin de vérifier que votre configuration fonctionne correctement.

Remarque : l'analyseur CLI Cisco (clients enregistrés uniquement) prend en charge certaines commandes show. Utilisez cet outil pour obtenir une analyse des rapports produits par ces commandes.

Utilisez ces commandes afin de vérifier votre configuration :

• Entrez la commande show crypto isakmp sa/show isakmp sa afin de vérifier que la Phase 1 s'établit correctement.
• Entrez la commande show crypto ipsec sa afin de vérifier que la Phase 2 s'établit correctement.

Résumé des commandes

Une fois les commandes VPN entrées dans les ASA, un tunnel VPN est établi lorsque le trafic passe entre le PC ASDM (172.18.124.102) et l'interface interne d'ASA-2 (192.168.10.1). À ce stade, le PC ASDM est en mesure d'atteindre https://192.168.10.1 et de communiquer avec l'interface ASDM d'ASA-2 sur le tunnel VPN.

Dépannage

Cette section fournit des renseignements qui vous permettront de régler les problèmes de configuration.

Remarque : reportez-vous à l'article Problèmes de connexion ASA de Cisco Adaptive Security Device Manager Cisco afin de dépanner les problèmes liés à l'ASDM.

Exemple de sortie de débogage

Entrez la commande show crypto isakmp sa afin d'afficher le tunnel qui est formé entre 198.51.100.2 et 203.0.113.2 :

ASA-2(config)# show crypto isakmp sa

IKEv1 SAs:

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 203.0.113.2
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

Entrez la commande show crypto ipsec sa afin d'afficher le tunnel qui passe le trafic entre 192.168.10.0 255.255.255.0 et 172. 18.124.0 255.255.255.0 :

ASA-2(config)# show crypto ipsec sa
interface: outside
 Crypto map tag: vpn, seq num: 10, local addr: 198.51.100.2
 
  access-list 101 extended permit ip 192.168.10.0 255.255.255.0
   172.18.124.0 255.255.255.0
  local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
  remote ident (addr/mask/prot/port): (172.18.124.0/255.255.255.0/0/0)
  current_peer: 203.0.113.2

  #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
  #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
  #pkts compressed: 0, #pkts decompressed: 0
  #pkts not compressed: 5, #pkts comp failed: 0, #pkts decomp failed: 0
  #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
  #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
  #TFC rcvd: 0, #TFC sent: 0
  #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
  #send errors: 0, #recv errors: 0
 
  local crypto endpt.: 198.51.100.2/0, remote crypto endpt.: 203.0.113.2/0
  path mtu 1500, ipsec overhead 58(36), media mtu 1500
  PMTU time remaining (sec): 0, DF policy: copy-df
  ICMP error validation: disabled, TFC packets: disabled
  current outbound spi: DDE6AD22
  current inbound spi : 92425FE5
 
 inbound esp sas:
  spi: 0x92425FE5 (2453823461)
   transform: esp-3des esp-md5-hmac no compression
   in use settings ={L2L, Tunnel, IKEv1, }
   slot: 0, conn_id: 28672, crypto-map: vpn
   sa timing: remaining key lifetime (kB/sec): (4373999/28658)
   IV size: 8 bytes
   replay detection support: Y
   Anti replay bitmap:
    0x00000000 0x0000003F
 outbound esp sas:
  spi: 0xDDE6AD22 (3722882338)
   transform: esp-3des esp-md5-hmac no compression
   in use settings ={L2L, Tunnel, IKEv1, }
   slot: 0, conn_id: 28672, crypto-map: vpn
   sa timing: remaining key lifetime (kB/sec): (4373999/28658)
   IV size: 8 bytes
   replay detection support: Y
   Anti replay bitmap:
    0x00000000 0x00000001

Informations connexes

• Référence des commandes Cisco ASA
• Assistance et documentation techniques - Cisco Systems