Exemple de configuration de PIX/ASA et d'un client VPN pour un VPN Internet public sur un stick

Options de téléchargement

PDF (2.1 MB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (2.5 MB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (2.8 MB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:26 septembre 2008

ID du document:67986

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Introduction

Conditions préalables

Exigences

Composants utilisés

Produits connexes

Conventions

Informations générales

Épilation ou volte-face

Configurations

Diagramme du réseau

Configuration CLI de PIX/ASA

Configurer ASA/PIX avec ASDM

Configuration du client VPN

Vérifier

Vérification du client VPN

Dépannage

Informations connexes

Introduction

Ce document décrit comment configurer un dispositif de sécurité ASA 7.2 et versions ultérieures pour exécuter IPsec sur une clé. Cette configuration s’applique à un cas spécifique dans lequel l’ASA n’autorise pas la transmission tunnel partagée et où les utilisateurs se connectent directement à l’ASA avant d’être autorisés à accéder à Internet.

Remarque : dans PIX/ASA version 7.2 et ultérieures, le intra-interface permet à tout le trafic d'entrer et de sortir de la même interface, et pas seulement au trafic IPsec.

Référez-vous à Exemple de configuration de routeur et client VPN pour Internet public sur un stick pour effectuer une configuration similaire sur un routeur de site central.

Référez-vous à Exemple de configuration de VPN satellite-à-client amélioré PIX/ASA 7.x avec authentification TACACS+ afin d'en savoir plus sur le scénario où le PIX concentrateur redirige le trafic du client VPN vers le PIX satellite.

Remarque : afin d'éviter un chevauchement d'adresses IP dans le réseau, affectez un pool d'adresses IP complètement différent au client VPN (par exemple, 10.x.x.x, 172.16.x.x et 192.168.x.x). Ce schéma d’adressage IP est utile pour dépanner votre réseau.

Conditions préalables

Exigences

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

L'appliance de sécurité PIX/ASA du concentrateur doit exécuter la version 7.2 ou ultérieure
Client VPN Cisco version 5.x

Composants utilisés

Les informations de ce document sont basées sur le dispositif de sécurité PIX ou ASA version 8.0.2 et le client VPN Cisco version 5.0.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produits connexes

Cette configuration peut également être utilisée avec le dispositif de sécurité Cisco PIX version 7.2 et ultérieure.

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Informations générales

Épilation ou volte-face

Cette fonctionnalité est utile pour le trafic VPN qui entre dans interface, mais qui est ensuite routé hors de cette même interface. Par exemple, si vous disposez d'un réseau VPN Hub and Spoke, où l'appliance de sécurité est le concentrateur et les réseaux VPN distants sont des rayons, pour qu'un rayon puisse communiquer avec un autre rayon, le trafic doit entrer dans l'appliance de sécurité, puis sortir à nouveau vers l'autre rayon.

Utilisez la commande same-security-traffic pour permettre au trafic d'entrer et de sortir de la même interface.

securityappliance(config)#
same-security-traffic permit intra-interface

Remarque : le piratage ou la volte-face s'applique également à la communication entre clients VPN et clients VPN.

Configurations

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Configuration CLI de PIX/ASA

PIX/ASA

Exécuter la configuration sur PIX/ASA
PIX Version 8.0(2) names ! interface Ethernet0 nameif outside security-level 0 ip address 172.18.124.98 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 172.16.3.101 255.255.255.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall ftp mode passive !--- Command that permits IPsec traffic to enter and exit the same interface. same-security-traffic permit intra-interface access-list 100 extended permit icmp any any echo-reply pager lines 24 logging enable logging buffered debugging mtu outside 1500 mtu inside 1500 ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0 no failover monitor-interface outside monitor-interface inside icmp permit any outside no asdm history enable arp timeout 14400 nat-control !--- The address pool for the VPN Clients. !--- The global address for Internet access used by VPN Clients. !--- Note:* Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP.* global (outside) 1 172.18.124.166 !--- The NAT statement to define what to encrypt (the addresses from the vpn-pool). nat (outside) 1 192.168.10.0 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) 172.16.3.102 172.16.3.102 netmask 255.255.255.255 access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.18.124.98 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute !--- The configuration of group-policy for VPN Clients. group-policy clientgroup internal group-policy clientgroup attributes vpn-idle-timeout 20 !--- Forces VPN Clients over the tunnel for Internet access. split-tunnel-policy tunnelall no snmp-server location no snmp-server contact snmp-server enable traps snmp !--- Configuration of IPsec Phase 2. crypto ipsec transform-set myset esp-3des esp-sha-hmac !--- Crypto map configuration for VPN Clients that connect to this PIX. crypto dynamic-map rtpdynmap 20 set transform-set myset !--- Binds the dynamic map to the crypto map process. crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap !--- Crypto map applied to the outside interface. crypto map mymap interface outside !--- Enable ISAKMP on the outside interface. isakmp identity address isakmp enable outside !--- Configuration of ISAKMP policy. isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 !--- Configuration of tunnel-group with group information for VPN Clients. tunnel-group rtptacvpn type ipsec-ra !--- Configuration of group parameters for the VPN Clients. tunnel-group rtptacvpn general-attributes address-pool vpnpool !--- Disable user authentication. authentication-server-group none !--- Bind group-policy parameters to the tunnel-group for VPN Clients. default-group-policy clientgroup tunnel-group rtptacvpn ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0 : end

Exécuter la configuration sur PIX/ASA

PIX Version 8.0(2)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 172.16.3.101 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
ftp mode passive

!--- Command that permits IPsec traffic to enter and exit the same interface.

same-security-traffic permit intra-interface
access-list 100 extended permit icmp any any echo-reply
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500

ip local pool vpnpool 
   192.168.10.1-192.168.10.254 mask 255.255.255.0

no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control
!--- The address pool for the VPN Clients.



!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP. 

global (outside) 1 172.18.124.166


!--- The NAT statement to define what to encrypt (the addresses from the vpn-pool).
 

nat (outside) 1 192.168.10.0 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.3.102 172.16.3.102 
   netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.124.98 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- The configuration of group-policy for VPN Clients.


group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20


!--- Forces VPN Clients over the tunnel for Internet access.


split-tunnel-policy tunnelall


no snmp-server location
no snmp-server contact
snmp-server enable traps snmp


!--- Configuration of IPsec Phase 2.


crypto ipsec transform-set myset esp-3des esp-sha-hmac


!--- Crypto map configuration for VPN Clients that connect to this PIX.


crypto dynamic-map rtpdynmap 20 set transform-set myset


!--- Binds the dynamic map to the crypto map process.


crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


!--- Crypto map applied to the outside interface.


crypto map mymap interface outside


!--- Enable ISAKMP on the outside interface.


isakmp identity address
isakmp enable outside


!--- Configuration of ISAKMP policy.


isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Configuration of tunnel-group with group information for VPN Clients.


tunnel-group rtptacvpn type ipsec-ra


!--- Configuration of group parameters for the VPN Clients.


tunnel-group rtptacvpn general-attributes
address-pool vpnpool


!--- Disable user authentication.


authentication-server-group none



!--- Bind group-policy parameters to the tunnel-group for VPN Clients.


default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
 inspect dns maximum-length 512
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect netbios
 inspect rsh
 inspect rtsp
 inspect skinny
 inspect esmtp
 inspect sqlnet
 inspect sunrpc
 inspect tftp
 inspect sip
 inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0
: end

Configurer ASA/PIX avec ASDM

Complétez ces étapes afin de configurer le Cisco ASA en tant que serveur VPN distant avec ASDM :

Choisissez Wizards > IPsec VPN Wizard dans la fenêtre Home.
Choisissez le type de tunnel VPN d'accès à distance, et assurez-vous que l'interface de tunnel VPN est définie comme souhaité.
Le seul type de client VPN disponible est déjà sélectionné. Cliquez sur Next (Suivant).
Écrivez un nom pour le nom du groupe tunnel. Fournissez les informations d'authentification à utiliser.

La clé pré-partagée est choisie dans cet exemple.

Remarque : il n'existe aucun moyen de masquer/chiffrer la clé pré-partagée sur l'ASDM. La raison est que l'ASDM ne doit être utilisé que par les personnes qui configurent l'ASA ou par les personnes qui assistent le client dans cette configuration.
Choisissez si vous voulez que des utilisateurs distants soient authentifiés à la base de données des utilisateurs locaux ou à un groupe de serveurs AAA externe.

Remarque : vous ajoutez des utilisateurs à la base de données des utilisateurs locaux à l'étape 6.

Remarque : référez-vous à Exemple de configuration d'authentification et d'autorisation de groupes de serveurs PIX/ASA 7.x pour les utilisateurs VPN via ASDM pour des informations sur la façon de configurer un groupe de serveurs AAA externe via ASDM.
Ajoutez des utilisateurs à la base de données locale, si nécessaire.

Remarque : ne supprimez pas les utilisateurs actuels de cette fenêtre. Choisissez Configuration > Device Administration > Administration > User Accounts dans la fenêtre principale d'ASDM pour modifier les entrées existantes dans la base de données ou les supprimer de la base de données.
Définissez un pool des adresses locales à assigner dynamiquement aux clients VPN distants quand elles se connectent.
Facultatif : spécifiez les informations de serveur DNS et WINS et un nom de domaine par défaut à transmettre aux clients VPN distants.
Spécifiez les paramètres pour l'IKE, également connus sous le nom de IKE phase 1.

Les configurations des deux côtés du tunnel doivent correspondre exactement, mais le client VPN Cisco choisit automatiquement la configuration qui lui convient. Aucune configuration IKE n'est nécessaire sur le PC client.
Spécifiez les paramètres pour IPSec, également connus sous le nom de IKE phase 2.

Les configurations des deux côtés du tunnel doivent correspondre exactement, mais le client VPN Cisco choisit automatiquement la configuration qui lui convient. Aucune configuration IKE n'est nécessaire sur le PC client.
Spécifiez quels hôtes ou réseaux internes, le cas échéant, peuvent être exposés aux utilisateurs VPN distants.

Si vous laissez cette liste vide, elle permet à des utilisateurs distants de VPN d'accéder au réseau interne en entier de l'ASA.

Vous pouvez également activer split tunneling sur cette fenêtre. Split tunneling crypte le trafic aux ressources définies précédemment dans cette procédure et fournit un accès non crypté à l'ensemble de l´Internet en ne tunnellisant pas ce trafic. Si la Transmission tunnel partagée n'est pas activée, tout le trafic des utilisateurs distants de VPN est tunnellisé à l'ASA. Ceci peut devenir très intensif en largeur de bande et processeur intensif, basé sur votre configuration.
Cette fenêtre montre un résumé des actions que vous avez prises. Cliquez sur Finish si vous êtes satisfait de votre configuration.
Configurez la commande same-security-traffic pour activer le trafic entre deux hôtes ou plus connectés à la même interface lorsque vous cochez la case comme indiqué :
Choisissez Configuration > Firewall > NAT Rules, et cliquez sur Add Dynamic NAT Rule afin de créer cette traduction dynamique avec l'utilisation d'ASDM.
Choisissez Inside comme interface source, et entrez les adresses voulues pour NAT. Pour Translate Address on Interface, choisissez outside et cliquez sur OK.
Choisissez outside comme interface source, et entrez les adresses que vous voulez NAT. Pour Translate Address on Interface, choisissez outside et cliquez sur OK.
La traduction apparaît dans les règles de traduction dans Configuration > Firewall > NAT Rules.

Remarque 1 : la commande sysopt connection permit-vpn doit être configurée. La commande show running-config sysopt vérifie si elle est configurée.

Remarque 2 : ajoutez cette sortie pour le transport UDP facultatif :

group-policy clientgroup attributes
vpn-idle-timeout 20

ipsec-udp enable
ipsec-udp-port 10000

split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel

Remarque 3 : Configurez cette commande dans la configuration globale de l'appareil PIX afin que les clients VPN se connectent via IPsec sur TCP :


isakmp ipsec-over-tcp port 10000

Remarque : reportez-vous à la vidéo Épinglage sur Cisco ASA pour plus d'informations sur les différents scénarios dans lesquels l'épinglage peut être utilisé.

Configuration du client VPN

Complétez ces étapes pour configurer le client VPN :

Sélectionnez Nouveau.
Entrez l'adresse IP de l'interface externe PIX et le nom du groupe de tunnels avec le mot de passe pour l'authentification.
(Facultatif) Cliquez sur Enable Transparent Tunneling dans l'onglet Transport. (Cette option est facultative et nécessite la configuration PIX/ASA supplémentaire mentionnée dans la note 2.)
Enregistrez le profil.

Vérifier

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

show crypto isakmp sa - Affiche toutes les associations de sécurité actuelles d'IKE (SA) sur un pair.
show crypto ipsec sa : affiche toutes les associations de sécurité actuelles. Recherchez les paquets cryptés et décryptés sur l'association de sécurité qui définissent le trafic du client VPN.

Essayez d'envoyer une requête ping ou de rechercher une adresse IP publique à partir du client (par exemple, www.cisco.com).

Remarque : l'interface interne du PIX ne peut pas recevoir de requête ping pour la formation d'un tunnel à moins que la commande management-access soit configurée en mode de configuration globale.

PIX1(config)#management-access inside
PIX1(config)#
show management-access

management-access inside

Vérification du client VPN

Complétez ces étapes afin de vérifier le client VPN.

Cliquez avec le bouton droit sur l'icône de verrouillage du client VPN présente dans la barre d'état système après une connexion réussie et choisissez l'option pour les statistiques afin d'afficher les chiffrements et les déchiffrements.
Cliquez sur l'onglet Détails de la route afin de vérifier l'absence de liste de tunnels partagés transmise par l'appliance.