Ce document décrit comment configurer un dispositif de sécurité ASA 7.2 et versions ultérieures pour exécuter IPsec sur une clé. Cette configuration s’applique à un cas spécifique dans lequel l’ASA n’autorise pas la transmission tunnel partagée et où les utilisateurs se connectent directement à l’ASA avant d’être autorisés à accéder à Internet.
Remarque : dans PIX/ASA version 7.2 et ultérieures, le intra-interface permet à tout le trafic d'entrer et de sortir de la même interface, et pas seulement au trafic IPsec.
Référez-vous à Exemple de configuration de routeur et client VPN pour Internet public sur un stick pour effectuer une configuration similaire sur un routeur de site central.
Référez-vous à Exemple de configuration de VPN satellite-à-client amélioré PIX/ASA 7.x avec authentification TACACS+ afin d'en savoir plus sur le scénario où le PIX concentrateur redirige le trafic du client VPN vers le PIX satellite.
Remarque : afin d'éviter un chevauchement d'adresses IP dans le réseau, affectez un pool d'adresses IP complètement différent au client VPN (par exemple, 10.x.x.x, 172.16.x.x et 192.168.x.x). Ce schéma d’adressage IP est utile pour dépanner votre réseau.
Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :
L'appliance de sécurité PIX/ASA du concentrateur doit exécuter la version 7.2 ou ultérieure
Client VPN Cisco version 5.x
Les informations de ce document sont basées sur le dispositif de sécurité PIX ou ASA version 8.0.2 et le client VPN Cisco version 5.0.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Cette configuration peut également être utilisée avec le dispositif de sécurité Cisco PIX version 7.2 et ultérieure.
Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.
Cette fonctionnalité est utile pour le trafic VPN qui entre dans interface, mais qui est ensuite routé hors de cette même interface. Par exemple, si vous disposez d'un réseau VPN Hub and Spoke, où l'appliance de sécurité est le concentrateur et les réseaux VPN distants sont des rayons, pour qu'un rayon puisse communiquer avec un autre rayon, le trafic doit entrer dans l'appliance de sécurité, puis sortir à nouveau vers l'autre rayon.
Utilisez la commande same-security-traffic pour permettre au trafic d'entrer et de sortir de la même interface.
securityappliance(config)# same-security-traffic permit intra-interface
Remarque : le piratage ou la volte-face s'applique également à la communication entre clients VPN et clients VPN.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
Ce document utilise la configuration réseau suivante :
Exécuter la configuration sur PIX/ASA |
---|
PIX Version 8.0(2) names ! interface Ethernet0 nameif outside security-level 0 ip address 172.18.124.98 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 172.16.3.101 255.255.255.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall ftp mode passive !--- Command that permits IPsec traffic to enter and exit the same interface. same-security-traffic permit intra-interface access-list 100 extended permit icmp any any echo-reply pager lines 24 logging enable logging buffered debugging mtu outside 1500 mtu inside 1500 ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0 no failover monitor-interface outside monitor-interface inside icmp permit any outside no asdm history enable arp timeout 14400 nat-control !--- The address pool for the VPN Clients. !--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP. global (outside) 1 172.18.124.166 !--- The NAT statement to define what to encrypt (the addresses from the vpn-pool). nat (outside) 1 192.168.10.0 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) 172.16.3.102 172.16.3.102 netmask 255.255.255.255 access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.18.124.98 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute !--- The configuration of group-policy for VPN Clients. group-policy clientgroup internal group-policy clientgroup attributes vpn-idle-timeout 20 !--- Forces VPN Clients over the tunnel for Internet access. split-tunnel-policy tunnelall no snmp-server location no snmp-server contact snmp-server enable traps snmp !--- Configuration of IPsec Phase 2. crypto ipsec transform-set myset esp-3des esp-sha-hmac !--- Crypto map configuration for VPN Clients that connect to this PIX. crypto dynamic-map rtpdynmap 20 set transform-set myset !--- Binds the dynamic map to the crypto map process. crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap !--- Crypto map applied to the outside interface. crypto map mymap interface outside !--- Enable ISAKMP on the outside interface. isakmp identity address isakmp enable outside !--- Configuration of ISAKMP policy. isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 !--- Configuration of tunnel-group with group information for VPN Clients. tunnel-group rtptacvpn type ipsec-ra !--- Configuration of group parameters for the VPN Clients. tunnel-group rtptacvpn general-attributes address-pool vpnpool !--- Disable user authentication. authentication-server-group none !--- Bind group-policy parameters to the tunnel-group for VPN Clients. default-group-policy clientgroup tunnel-group rtptacvpn ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0 : end |
Complétez ces étapes afin de configurer le Cisco ASA en tant que serveur VPN distant avec ASDM :
Choisissez Wizards > IPsec VPN Wizard dans la fenêtre Home.
Choisissez le type de tunnel VPN d'accès à distance, et assurez-vous que l'interface de tunnel VPN est définie comme souhaité.
Le seul type de client VPN disponible est déjà sélectionné. Cliquez sur Next (Suivant).
Écrivez un nom pour le nom du groupe tunnel. Fournissez les informations d'authentification à utiliser.
La clé pré-partagée est choisie dans cet exemple.
Remarque : il n'existe aucun moyen de masquer/chiffrer la clé pré-partagée sur l'ASDM. La raison est que l'ASDM ne doit être utilisé que par les personnes qui configurent l'ASA ou par les personnes qui assistent le client dans cette configuration.
Choisissez si vous voulez que des utilisateurs distants soient authentifiés à la base de données des utilisateurs locaux ou à un groupe de serveurs AAA externe.
Remarque : vous ajoutez des utilisateurs à la base de données des utilisateurs locaux à l'étape 6.
Remarque : référez-vous à Exemple de configuration d'authentification et d'autorisation de groupes de serveurs PIX/ASA 7.x pour les utilisateurs VPN via ASDM pour des informations sur la façon de configurer un groupe de serveurs AAA externe via ASDM.
Ajoutez des utilisateurs à la base de données locale, si nécessaire.
Remarque : ne supprimez pas les utilisateurs actuels de cette fenêtre. Choisissez Configuration > Device Administration > Administration > User Accounts dans la fenêtre principale d'ASDM pour modifier les entrées existantes dans la base de données ou les supprimer de la base de données.
Définissez un pool des adresses locales à assigner dynamiquement aux clients VPN distants quand elles se connectent.
Facultatif : spécifiez les informations de serveur DNS et WINS et un nom de domaine par défaut à transmettre aux clients VPN distants.
Spécifiez les paramètres pour l'IKE, également connus sous le nom de IKE phase 1.
Les configurations des deux côtés du tunnel doivent correspondre exactement, mais le client VPN Cisco choisit automatiquement la configuration qui lui convient. Aucune configuration IKE n'est nécessaire sur le PC client.
Spécifiez les paramètres pour IPSec, également connus sous le nom de IKE phase 2.
Les configurations des deux côtés du tunnel doivent correspondre exactement, mais le client VPN Cisco choisit automatiquement la configuration qui lui convient. Aucune configuration IKE n'est nécessaire sur le PC client.
Spécifiez quels hôtes ou réseaux internes, le cas échéant, peuvent être exposés aux utilisateurs VPN distants.
Si vous laissez cette liste vide, elle permet à des utilisateurs distants de VPN d'accéder au réseau interne en entier de l'ASA.
Vous pouvez également activer split tunneling sur cette fenêtre. Split tunneling crypte le trafic aux ressources définies précédemment dans cette procédure et fournit un accès non crypté à l'ensemble de l´Internet en ne tunnellisant pas ce trafic. Si la Transmission tunnel partagée n'est pas activée, tout le trafic des utilisateurs distants de VPN est tunnellisé à l'ASA. Ceci peut devenir très intensif en largeur de bande et processeur intensif, basé sur votre configuration.
Cette fenêtre montre un résumé des actions que vous avez prises. Cliquez sur Finish si vous êtes satisfait de votre configuration.
Configurez la commande same-security-traffic pour activer le trafic entre deux hôtes ou plus connectés à la même interface lorsque vous cochez la case comme indiqué :
Choisissez Configuration > Firewall > NAT Rules, et cliquez sur Add Dynamic NAT Rule afin de créer cette traduction dynamique avec l'utilisation d'ASDM.
Choisissez Inside comme interface source, et entrez les adresses voulues pour NAT. Pour Translate Address on Interface, choisissez outside et cliquez sur OK.
Choisissez outside comme interface source, et entrez les adresses que vous voulez NAT. Pour Translate Address on Interface, choisissez outside et cliquez sur OK.
La traduction apparaît dans les règles de traduction dans Configuration > Firewall > NAT Rules.
Remarque 1 : la commande sysopt connection permit-vpn doit être configurée. La commande show running-config sysopt vérifie si elle est configurée.
Remarque 2 : ajoutez cette sortie pour le transport UDP facultatif :
group-policy clientgroup attributes vpn-idle-timeout 20 ipsec-udp enable ipsec-udp-port 10000 split-tunnel-policy tunnelspecified split-tunnel-network-list value splittunnel
Remarque 3 : Configurez cette commande dans la configuration globale de l'appareil PIX afin que les clients VPN se connectent via IPsec sur TCP :
isakmp ipsec-over-tcp port 10000
Remarque : reportez-vous à la vidéo Épinglage sur Cisco ASA pour plus d'informations sur les différents scénarios dans lesquels l'épinglage peut être utilisé.
Complétez ces étapes pour configurer le client VPN :
Sélectionnez Nouveau.
Entrez l'adresse IP de l'interface externe PIX et le nom du groupe de tunnels avec le mot de passe pour l'authentification.
(Facultatif) Cliquez sur Enable Transparent Tunneling dans l'onglet Transport. (Cette option est facultative et nécessite la configuration PIX/ASA supplémentaire mentionnée dans la note 2.)
Enregistrez le profil.
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
show crypto isakmp sa - Affiche toutes les associations de sécurité actuelles d'IKE (SA) sur un pair.
show crypto ipsec sa : affiche toutes les associations de sécurité actuelles. Recherchez les paquets cryptés et décryptés sur l'association de sécurité qui définissent le trafic du client VPN.
Essayez d'envoyer une requête ping ou de rechercher une adresse IP publique à partir du client (par exemple, www.cisco.com).
Remarque : l'interface interne du PIX ne peut pas recevoir de requête ping pour la formation d'un tunnel à moins que la commande management-access soit configurée en mode de configuration globale.
PIX1(config)#management-access inside PIX1(config)# show management-access management-access inside
Complétez ces étapes afin de vérifier le client VPN.
Cliquez avec le bouton droit sur l'icône de verrouillage du client VPN présente dans la barre d'état système après une connexion réussie et choisissez l'option pour les statistiques afin d'afficher les chiffrements et les déchiffrements.
Cliquez sur l'onglet Détails de la route afin de vérifier l'absence de liste de tunnels partagés transmise par l'appliance.
Remarque : pour plus d'informations sur la façon de dépanner les problèmes VPN, référez-vous à Solutions de dépannage VPN .
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
25-Oct-2005 |
Première publication |