ASA/PIX : exemple de configuration de l'adressage IP statique pour le client VPN IPSec avec CLI et ASDM

Introduction

Ce document décrit comment configurer le dispositif de sécurité adaptatif (ASA) de la gamme Cisco 5500 pour fournir l'adresse IP statique au client VPN avec l'ASDM (Adaptive Security Device Manager) ou l'interface de ligne de commande. L'ASDM fournit la gestion et la surveillance de la sécurité de classe mondiale par une interface de gestion basée sur le Web, intuitive et facile à utiliser. Une fois la configuration Cisco ASA terminée, elle peut être vérifiée avec le client VPN Cisco.

Référez-vous à Exemple de configuration d'authentification PIX/ASA 7.x et Client VPN Cisco 4.x avec Windows 2003 RADIUS IAS (sur Active Directory) afin de configurer la connexion VPN d'accès à distance entre un client VPN Cisco (4.x pour Windows) et le dispositif de sécurité 7.x de le gamme PIX 500. L'utilisateur du client VPN distant s'authentifie auprès d'Active Directory à l'aide d'un serveur RADIUS Microsoft Windows 2003 Internet Authentication Service (IAS).

Référez-vous à Exemple de configuration d'authentification de Cisco Secure ACS de PIX/ASA 7.x et Cisco VPN Client 4.x afin de configurer une connexion VPN d'accès à distance entre un client VPN Cisco (4.x pour Windows) et le dispositif de sécurité de la gamme PIX 500 7.x avec un serveur de contrôle d'accès sécurisé Cisco (ACS version 3.2) pour l'authentification étendue (Xauth).

Conditions préalables

Exigences

Ce document suppose que l´ASA est complètement opérationnel et configuré pour permettre au Cisco ASDM ou CLI d'apporter des modifications de configuration.

Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM ou PIX/ASA 7.x : SSH sur l'exemple de configuration d'interface interne et externe pour permettre au périphérique d'être configuré à distance par l'ASDM ou Secure Shell (SSH).

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Logiciel Cisco Adaptive Security Appliance versions 7.x et ultérieures

• Adaptive Security Device Manager Versions 5.x et ultérieures

• Client VPN Cisco Versions 4.x et ultérieures

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produits connexes

Vous pouvez également utiliser cette configuration avec le dispositif de sécurité Cisco PIX Versions 7.x et ultérieures.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurer

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : Utilisez l’outil de recherche de commandes (clients enregistrés seulement) pour en savoir plus sur les commandes employées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Remarque : les schémas d'adressage IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Il s’agit d’adresses RFC 1918, utilisées dans un environnement de travaux pratiques.

Configuration du VPN d'accès à distance (IPSec)

Procédure ASDM

Complétez ces étapes afin de configurer le VPN d'accès à distance :

1. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Policies > Add afin de créer une stratégie ISAKMP.

   

2. Fournissez les détails de la stratégie ISAKMP.

   

   Cliquez sur OK et sur Apply.

3. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Parameters pour activer l'IKE sur l'interface externe.

   

4. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IPSec Transform Sets > Add afin de créer le jeu de transformation ESP-DES-SHA, comme indiqué.

   

   Cliquez sur OK et sur Apply.

5. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > Crypto Maps > Add afin de créer une carte de chiffrement avec une stratégie dynamique de priorité 1, comme indiqué.

   

   Cliquez sur OK et sur Apply.

6. Choisissez Configuration > Remote Access VPN > AAA Setup > Local Users > Add afin de créer le compte d'utilisateur (par exemple, username - cisco123 et Password - cisco123) pour l'accès client VPN.

   

7. Accédez à VPN Policy et ajoutez l'adresse IP statique/dédiée pour l'utilisateur « cisco123 », comme suit.

   

8. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools et cliquez sur Add pour ajouter le client VPN pour les utilisateurs du client VPN.

   

9. Choisissez Configuration > Remote Access VPN > Network (Client) Access > IPSec Connection Profiles > Add afin d'ajouter un groupe de tunnel (par exemple, TunnelGroup1 et la clé pré-partagée comme cisco123), comme indiqué.

   

   • Dans l'onglet Basic, sélectionnez le groupe de serveurs comme LOCAL pour le champ User Authentication.

   • Sélectionnez vpnclient1 comme pools d'adresses client pour les utilisateurs du client VPN.

   

   Click OK.

10. Choisissez Advanced > Client Addressing et cochez la case Use address pool pour attribuer l'adresse IP aux clients VPN.

    Remarque : veillez à décocher les cases Utiliser le serveur d'authentification et Utiliser DHCP.

    

    Click OK.

11. Activez l'interface externe pour l'accès IPSec. Cliquez sur Apply pour continuer.

    

Configurer ASA/PIX avec CLI

Complétez ces étapes afin de configurer le serveur DHCP pour fournir des adresses IP aux clients VPN à partir de la ligne de commande. Référez-vous à Configurer les vpn d'accès à distance ou Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5505-Références de commande pour plus d'informations sur chaque commande qui est utilisée.

ASA# sh run
ASA Version 8.0(2)
!

!--- Specify the hostname for the Security Appliance.

hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!


!--- Configure the outside and inside interfaces.

interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/2
 nameif DMZ
 security-level 50
 ip address 192.168.10.2 255.255.255.0


!--- Output is suppressed.


passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive

access-list 101 extended permit ip 10.1.1.0 255.255.255.0 
192.168.5.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500

ip local pool vpnclient1 192.168.5.10-192.168.5.100 mask 255.255.255.0

no failover
icmp unreachable rate-limit 1 burst-size 1


!--- Specify the location of the ASDM image for ASA to fetch the image for ASDM access.

asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400

global (outside) 1 192.168.1.5
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto dynamic-map outside_dyn_map 1 set transform-set ESP-DES-SHA
crypto map outside_map 1 ipsec-isakmp dynamic outside_dyn_map


!--- Specifies the interface to be used with !--- the settings defined in this configuration.

crypto map outside_map interface outside


!--- PHASE 1 CONFIGURATION ---! !--- This configuration uses ISAKMP policy 2. !--- The configuration commands here define the Phase !--- 1 policy parameters that are used.

crypto isakmp enable outside

crypto isakmp policy 2
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400

no crypto isakmp nat-traversal


!--- Specifies that the IP address to the vpn clients are assigned by the local and not by AAA or dhcp. The CLI vpn-addr-assign local for VPN address assignment through ASA is hidden in the CLI provided by show run command. 

no vpn-addr-assign aaa
no vpn-addr-assign dhcp

telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
!
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol IPSec webvpn
group-policy GroupPolicy1 internal


!--- In order to identify remote access users to the Security Appliance, !--- you can also configure usernames and passwords on the device. !--- specify the IP address to assign to a particular user, use the vpn-framed-ip-address command !--- in username mode 

username cisco123 password ffIRPGpDSOJh9YLq encrypted
username cisco123 attributes
  vpn-framed-ip-address 192.168.5.1 255.255.255.0

!--- Create a new tunnel group and set the connection !--- type to remote-access.

tunnel-group TunnelGroup1 type remote-access
tunnel-group TunnelGroup1 general-attributes
 address-pool vpnclient1


!--- Enter the pre-shared-key to configure the authentication method.

tunnel-group TunnelGroup1 ipsec-attributes
 pre-shared-key *

prompt hostname context
Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d
: end
ASA#

Configuration du client VPN Cisco

Essayez de vous connecter à Cisco ASA avec le client VPN Cisco afin de vérifier que l'ASA est correctement configuré.

1. Sélectionnez Start > Programs > Cisco Systems VPN Client > VPN Client (démarrer > programmes > client VPN Cisco Systems > client VPN).

2. Cliquez sur New pour ouvrir la fenêtre Create New VPN Connection Entry.

   

3. Complétez les détails de votre nouvelle connexion.

   Entrez le nom de l'entrée de connexion avec une description. Entrez l'adresse IP externe de l'ASA dans le champ Host. Saisissez ensuite le nom du groupe de tunnels VPN (TunnelGroup1) et le mot de passe (Pre-shared Key - cisco123), comme configuré dans ASA. Cliquez sur Save.

   

4. Cliquez sur la connexion que vous voulez utiliser, et cliquez sur Connect dans la fenêtre principale de VPN Client.

   

5. Lorsque vous y êtes invité, entrez le Nom d'utilisateur : cisco123 et le Mot de passe : cisco123 comme configuré dans l'ASA pour Xauth, et cliquez sur OK pour vous connecter au réseau distant.

   

6. Le client VPN est connecté à l'ASA sur le site central.

   

7. Une fois la connexion établie avec succès, choisissez Statistics dans le menu Status pour vérifier les détails du tunnel.

   

Vérifier

Commandes show

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

• show crypto isakmp sa — Affiche toutes les associations de sécurité actuelles IKE (SA) sur un homologue.

• show crypto ipsec sa — Affiche les paramètres utilisés par les SA en cours.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. L'exemple de sortie Debug est également affiché.

Remarque : pour plus d'informations sur le dépannage du VPN IPSec d'accès à distance, reportez-vous à la section Most Common L2L and Remote Access IPSec VPN Troubleshooting Solutions.

Suppression des associations de sécurité

Lorsque vous effectuez un dépannage, assurez-vous d'effacer les associations de sécurité existantes après avoir effectué une modification. En mode privilégiée du PIX, utilisez les commandes suivantes :

• clear [crypto] ipsec sa - Supprime les SA IPSec actives. Le mot clé crypto est facultatif.

• clear [crypto] isakmp sa — supprime les SA IKE actives. Le mot clé crypto est facultatif.

Dépannage des commandes

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.

• debug crypto ipsec 7 — Affiche les négociations IPsec de la phase 2.

• debug crypto isakmp 7 — Affiche les négociations ISAKMP de la phase 1.

Informations connexes

• Page d'assistance des appliances de sécurité adaptables de la gamme Cisco ASA 5500
• Références des commandes des appareils de sécurité adaptatifs Cisco ASA 5500
• Page de support pour serveurs de sécurité de la gamme Cisco PIX 500
• Référence des commandes des appareils de sécurité Cisco PIX 500
• Cisco Adaptive Security Device Manager
• Page de support de la négociation IPSec/des protocoles IKE
• Cisco VPN Client Support Page
• Logiciels pare-feu Cisco PIX
• Références des commandes du pare-feu Cisco Secure PIX
• Notices de champs relatives aux produits de sécurité (y compris PIX)
• Demandes de commentaires (RFC)
• Assistance et documentation techniques - Cisco Systems