Exemple de configuration d'IPsec entre un concentrateur VPN 3000 et un client VPN 4.x pour Windows à l'aide de RADIUS pour l'authentification et la comptabilisation des utilisateurs

Introduction

Ce document décrit comment établir un tunnel IPsec entre un concentrateur VPN Cisco 3000 et un client VPN Cisco 4.x pour Microsoft Windows qui utilise RADIUS pour l'authentification et la comptabilité des utilisateurs. Ce document recommande Cisco Secure Access Control Server (ACS) pour Windows pour une configuration RADIUS plus simple afin d'authentifier les utilisateurs qui se connectent à un concentrateur VPN 3000. Un groupe sur un concentrateur VPN 3000 est un ensemble d'utilisateurs traités comme une entité unique. La configuration des groupes, par opposition aux utilisateurs individuels, peut simplifier la gestion du système et rationaliser les tâches de configuration.

Référez-vous à Exemple de configuration d'authentification RADIUS PIX/ASA 7.x et Cisco VPN Client 4.x pour Windows avec Microsoft Windows 2003 IAS afin de configurer la connexion VPN d'accès à distance entre un client VPN Cisco (4.x pour Windows) et le dispositif de sécurité de la gamme PIX 500 7.x qui utilise un serveur RADIUS Microsoft Windows 2003.

Référez-vous à Configuration d'IPsec entre un routeur Cisco IOS et un client VPN Cisco 4.x pour Windows utilisant RADIUS pour l'authentification utilisateur afin de configurer une connexion entre un routeur et le client VPN Cisco 4.x qui utilise RADIUS pour l'authentification utilisateur.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Cisco Secure ACS pour Windows RADIUS est installé et fonctionne correctement avec d'autres périphériques.

• Le concentrateur Cisco VPN 3000 est configuré et peut être géré avec l'interface HTML.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Cisco Secure ACS pour Windows avec la version 4.0

• Concentrateur de la gamme Cisco VPN 3000 avec fichier image 4.7.2.B

• Client VPN Cisco 4.x

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Remarque : les schémas d'adressage IP utilisés dans cette configuration ne sont pas routables légalement sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisés dans un environnement de laboratoire.

Utiliser des groupes sur le concentrateur VPN 3000

Les groupes peuvent être définis à la fois pour Cisco Secure ACS pour Windows et le concentrateur VPN 3000, mais ils utilisent des groupes légèrement différents. Effectuez ces tâches afin de simplifier les choses :

• Configurez un groupe unique sur le concentrateur VPN 3000 pour lorsque vous établissez le tunnel initial. Il s'agit souvent du groupe de tunnels et il est utilisé pour établir une session Internet Key Exchange (IKE) cryptée vers le concentrateur VPN 3000 à l'aide d'une clé pré-partagée (le mot de passe du groupe). Il s'agit du même nom de groupe et du même mot de passe qui doivent être configurés sur tous les clients VPN Cisco qui veulent se connecter au concentrateur VPN.

• Configurez des groupes sur le serveur Cisco Secure ACS pour Windows qui utilisent des attributs RADIUS standard et des attributs spécifiques au fournisseur (VSA) pour la gestion des stratégies. Les VSA qui doivent être utilisées avec le concentrateur VPN 3000 sont les attributs RADIUS (VPN 3000).

• Configurez les utilisateurs sur le serveur Cisco Secure ACS pour Windows RADIUS et attribuez-les à l'un des groupes configurés sur le même serveur. Les utilisateurs héritent des attributs définis pour leur groupe et Cisco Secure ACS pour Windows envoie ces attributs au concentrateur VPN lorsque l'utilisateur est authentifié.

Utilisation des attributs de groupe et d'utilisateur par le concentrateur VPN 3000

Une fois que le concentrateur VPN 3000 a authentifié le groupe de tunnels avec le concentrateur VPN et l'utilisateur avec RADIUS, il doit organiser les attributs qu'il a reçus. Le concentrateur VPN utilise les attributs dans cet ordre de préférence, que l'authentification soit effectuée dans le concentrateur VPN ou avec RADIUS :

1. Attributs utilisateur : ces attributs ont toujours la priorité sur les autres.

2. Attributs du groupe de tunnels - Tous les attributs non retournés lorsque l'utilisateur a été authentifié sont remplis par les attributs du groupe de tunnels.

3. Attributs du groupe de base - Tous les attributs manquants des attributs utilisateur ou groupe de tunnels sont remplis par les attributs du groupe de base du concentrateur VPN.

Configuration du concentrateur de la gamme VPN 3000

Suivez la procédure décrite dans cette section afin de configurer un concentrateur VPN Cisco 3000 pour les paramètres requis pour la connexion IPsec ainsi que le client AAA pour que l'utilisateur VPN s'authentifie auprès du serveur RADIUS.

Dans ce paramètre de travaux pratiques, le concentrateur VPN est d’abord accessible via le port de console et une configuration minimale est ajoutée comme le montre le résultat suivant :

Login: admin

!--- The password must be "admin".

Password:*****

                Welcome to
               Cisco Systems
       VPN 3000 Concentrator Series
          Command Line Interface
Copyright (C) 1998-2005 Cisco Systems, Inc.

1) Configuration
2) Administration
3) Monitoring
4) Save changes to Config file
5) Help Information
6) Exit

Main -> 1

1) Interface Configuration
2) System Management
3) User Management
4) Policy Management
5) Tunneling and Security
6) Back

Config -> 1

This table shows current IP addresses.

  Intf         Status       IP Address/Subnet Mask          MAC Address
-------------------------------------------------------------------------------
Ether1-Pri|       DOWN   |       10.1.1.1/255.255.255.0  | 00.03.A0.89.BF.D0
Ether2-Pub|Not Configured|        0.0.0.0/0.0.0.0        |
Ether3-Ext|Not Configured|        0.0.0.0/0.0.0.0        |
-------------------------------------------------------------------------------
DNS Server(s): DNS Server Not Configured
DNS Domain Name:
Default Gateway: Default Gateway Not Configured

1) Configure Ethernet #1 (Private)
2) Configure Ethernet #2 (Public)
3) Configure Ethernet #3 (External)
4) Configure Power Supplies
5) Back

Interfaces -> 1

1) Interface Setting (Disable, DHCP or Static IP)
2) Set Public Interface
3) Select IP Filter
4) Select Ethernet Speed
5) Select Duplex
6) Set MTU
7) Set Port Routing Config
8) Set Bandwidth Management
9) Set Public Interface IPSec Fragmentation Policy
10) Set Interface WebVPN Parameters
11) Back

Ethernet Interface 1 -> 1

1) Disable
2) Enable using DHCP Client
3) Enable using Static IP Addressing

Ethernet Interface 1 -> [ ] 3

This table shows current IP addresses.

  Intf         Status       IP Address/Subnet Mask          MAC Address
-------------------------------------------------------------------------------
Ether1-Pri|       DOWN   |       10.1.1.1/255.255.255.0  | 00.03.A0.89.BF.D0
Ether2-Pub|Not Configured|        0.0.0.0/0.0.0.0        |
Ether3-Ext|Not Configured|        0.0.0.0/0.0.0.0        |
-------------------------------------------------------------------------------
DNS Server(s): DNS Server Not Configured
DNS Domain Name:
Default Gateway: Default Gateway Not Configured

> Enter IP Address

Ethernet Interface 1 -> [ 10.1.1.1 ] 172.16.124.1


20 02/14/2007 09:50:18.830 SEV=3 IP/2 RPT=3
IP Interface 1 status changed to Link Down.

21 02/14/2007 09:50:18.830 SEV=3 IP/1 RPT=3
IP Interface 1 status changed to Link Up.

22 02/14/2007 09:50:18.950 SEV=3 IP/1 RPT=4
IP Interface 1 status changed to Link Up.
> Enter Subnet Mask

23 02/14/2007 09:50:19.460 SEV=3 IP/2 RPT=4
IP Interface 1 status changed to Link Down.

Ethernet Interface 1 -> [ 255.255.255.0 ]

1) Interface Setting (Disable, DHCP or Static IP)
2) Set Public Interface
3) Select IP Filter
4) Select Ethernet Speed
5) Select Duplex
6) Set MTU
7) Set Port Routing Config
8) Set Bandwidth Management
9) Set Public Interface IPSec Fragmentation Policy
10) Set Interface WebVPN Parameters
11) Back

Ethernet Interface 1 -> 11

This table shows current IP addresses.

  Intf         Status       IP Address/Subnet Mask          MAC Address
-------------------------------------------------------------------------------
Ether1-Pri|       Up     |   172.16.124.1/255.255.255.0  | 00.03.A0.89.BF.D0
Ether2-Pub|Not Configured|        0.0.0.0/0.0.0.0        |
Ether3-Ext|Not Configured|        0.0.0.0/0.0.0.0        |
-------------------------------------------------------------------------------
DNS Server(s): DNS Server Not Configured
DNS Domain Name:
Default Gateway: Default Gateway Not Configured

1) Configure Ethernet #1 (Private)
2) Configure Ethernet #2 (Public)
3) Configure Ethernet #3 (External)
4) Configure Power Supplies
5) Back

Interfaces ->

Le concentrateur VPN apparaît dans Configuration rapide et ces éléments sont configurés.

• Heure/Date

• Interfaces/masques dans Configuration > Interfaces (public=10.0.0.1/24, private=172.16.124.1/24)

• Passerelle par défaut dans Configuration > System > IP routing > Default_Gateway (10.0.0.2)

À ce stade, le concentrateur VPN est accessible via HTML depuis le réseau interne.

Remarque : si le concentrateur VPN est géré de l'extérieur, vous devez également effectuer les étapes suivantes :

1. Choisissez Configuration > 1-Interfaces > 2-Public > 4-Select IP Filter > 1. Privé (par défaut).

2. Choisissez Administration > 7-Access Rights > 2-Access Control List > 1-Add Manager Workstation afin d'ajouter l'adresse IP du gestionnaire externe.

Ces étapes ne sont requises que si vous gérez le concentrateur VPN depuis l'extérieur.

Une fois ces deux étapes terminées, le reste de la configuration peut être effectué via l'interface utilisateur graphique en utilisant un navigateur Web et en se connectant à l'adresse IP de l'interface que vous venez de configurer. Dans cet exemple et à ce stade, le concentrateur VPN est accessible via HTML à partir du réseau interne :

1. Choisissez Configuration > Interfaces afin de vérifier les interfaces après avoir activé l'interface utilisateur graphique.

   

2. Complétez ces étapes afin d'ajouter le serveur Cisco Secure ACS pour Windows RADIUS à la configuration du concentrateur VPN 3000.

   1. Choisissez Configuration > System > Servers > Authentication, puis cliquez sur Add dans le menu de gauche.

      

   2. Choisissez le type de serveur RADIUS et ajoutez ces paramètres pour votre serveur Cisco Secure ACS pour Windows RADIUS. Laissez tous les autres paramètres dans leur état par défaut .

      • Authentication Server : saisissez l'adresse IP de votre serveur Cisco Secure ACS pour Windows RADIUS.

      • Server Secret : saisissez le secret du serveur RADIUS. Ce doit être le même secret que celui que vous utilisez lorsque vous configurez le concentrateur VPN 3000 dans la configuration de Cisco Secure ACS pour Windows.

      • Verify : saisissez à nouveau le mot de passe pour vérification.

        Ceci ajoute le serveur d'authentification dans la configuration globale du concentrateur VPN 3000. Ce serveur est utilisé par tous les groupes sauf lorsqu'un serveur d'authentification a été spécifiquement défini. Si un serveur d'authentification n'est pas configuré pour un groupe, il revient au serveur d'authentification global.

3. Complétez ces étapes afin de configurer le groupe de tunnels sur le concentrateur VPN 3000.

   1. Choisissez Configuration > User Management > Groups dans le menu de gauche et cliquez sur Add.

   2. Modifiez ou ajoutez ces paramètres dans les onglets Configuration. Ne cliquez pas sur Appliquer tant que vous n'avez pas modifié tous ces paramètres :

      Remarque : ces paramètres sont le minimum requis pour les connexions VPN d'accès à distance. Ces paramètres supposent également que les paramètres par défaut du groupe de base sur le concentrateur VPN 3000 n'ont pas été modifiés.

      Identité

      

      • Group Name : saisissez un nom de groupe. Par exemple, IPsecUsers.

      • Password : saisissez un mot de passe pour le groupe. Il s'agit de la clé pré-partagée pour la session IKE.

      • Verify : saisissez à nouveau le mot de passe pour vérification.

      • Type : laissez ceci comme valeur par défaut : Interne.

      IPsec

      

      • Tunnel Type : choisissez Remote-Access.

      • Authentification : RADIUS. Cela indique au concentrateur VPN quelle méthode utiliser pour authentifier les utilisateurs.

      • Mode Config : cochez Mode Config.

   3. Cliquez sur Apply.

4. Complétez ces étapes afin de configurer plusieurs serveurs d'authentification sur le concentrateur VPN 3000.

   1. Une fois le groupe défini, mettez-le en surbrillance, puis cliquez sur Serveurs d'authentification sous la colonne Modifier. Des serveurs d'authentification individuels peuvent être définis pour chaque groupe même si ces serveurs n'existent pas dans les serveurs globaux.

      

   2. Choisissez le type de serveur RADIUS et ajoutez ces paramètres pour votre serveur Cisco Secure ACS pour Windows RADIUS. Laissez tous les autres paramètres dans leur état par défaut .

      • Authentication Server : saisissez l'adresse IP de votre serveur Cisco Secure ACS pour Windows RADIUS.

      • Server Secret : saisissez le secret du serveur RADIUS. Ce doit être le même secret que celui que vous utilisez lorsque vous configurez le concentrateur VPN 3000 dans la configuration de Cisco Secure ACS pour Windows.

      • Verify : saisissez à nouveau le mot de passe pour vérification.

5. Choisissez Configuration > System > Address Management > Assignment et cochez Use Address from Authentication Server afin d'attribuer l'adresse IP aux clients VPN à partir du pool d'adresses IP créé dans le serveur RADIUS une fois le client authentifié.

   

Configuration du serveur RADIUS

Cette section du document décrit la procédure requise pour configurer Cisco Secure ACS en tant que serveur RADIUS pour l'authentification des utilisateurs du client VPN transmise par le concentrateur de la gamme Cisco VPN 3000 - client AAA.

Double-cliquez sur l'icône ACS Admin afin de démarrer la session admin sur le PC qui exécute le serveur Cisco Secure ACS pour Windows RADIUS. Connectez-vous avec le nom d'utilisateur et le mot de passe appropriés, si nécessaire.

1. Complétez ces étapes afin d'ajouter le concentrateur VPN 3000 à la configuration du serveur Cisco Secure ACS pour Windows.

   1. Choisissez Network Configuration et cliquez sur Add Entry afin d'ajouter un client AAA au serveur RADIUS.

      

      Ajoutez ces paramètres à votre concentrateur VPN 3000 :

      

      • AAA Client Hostname : saisissez le nom d'hôte de votre concentrateur VPN 3000 (pour la résolution DNS).

      • AAA Client IP Address : saisissez l'adresse IP de votre concentrateur VPN 3000.

      • Key : saisissez le secret du serveur RADIUS. Il doit s'agir du même secret que celui que vous avez configuré lorsque vous avez ajouté le serveur d'authentification sur le concentrateur VPN.

      • Authenticate Using : choisissez RADIUS (Cisco VPN 3000/ASA/PIX 7.x+). Cela permet aux VSA VPN 3000 de s'afficher dans la fenêtre de configuration du groupe.

   2. Cliquez sur Submit.

   3. Choisissez Interface Configuration, cliquez sur RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) et cochez Group [26] Vendor-Specific.

      

      Remarque : 'attribut RADIUS 26' fait référence à tous les attributs spécifiques au fournisseur. Par exemple, choisissez Interface Configuration > RADIUS (Cisco VPN 3000) et voyez que tous les attributs disponibles commencent par 026. Cela montre que tous ces attributs spécifiques au fournisseur sont conformes à la norme IETF RADIUS 26. Ces attributs ne s'affichent pas par défaut dans la configuration de l'utilisateur ou du groupe. Afin d'apparaître dans la configuration du groupe, créez un client AAA (dans ce cas, un concentrateur VPN 3000) qui s'authentifie avec RADIUS dans la configuration réseau. Vérifiez ensuite les attributs qui doivent apparaître dans Configuration utilisateur, Configuration de groupe ou les deux dans la configuration de l'interface.

      Référez-vous à Attributs RADIUS pour plus d'informations sur les attributs disponibles et leur utilisation.

   4. Cliquez sur Submit.

2. Complétez ces étapes afin d'ajouter des groupes à la configuration Cisco Secure ACS pour Windows.

   1. Choisissez Configuration du groupe, puis sélectionnez l'un des groupes de modèles, par exemple Groupe 1, et cliquez sur Renommer le groupe.

      

      Remplacez le nom par un nom approprié pour votre organisation. Par exemple, ipsecgroup. Puisque les utilisateurs sont ajoutés à ces groupes, faites en sorte que le nom du groupe reflète l'objectif réel de ce groupe. Si tous les utilisateurs sont placés dans le même groupe, vous pouvez l'appeler Groupe d'utilisateurs VPN.

   2. Cliquez sur Modifier les paramètres afin de modifier les paramètres de votre nouveau groupe renommé.

      

   3. Cliquez sur Cisco VPN 3000 RADIUS et configurez ces attributs recommandés. Cela permet aux utilisateurs affectés à ce groupe d'hériter des attributs RADIUS Cisco VPN 3000, ce qui vous permet de centraliser les stratégies pour tous les utilisateurs de Cisco Secure ACS pour Windows.

      

      Remarque : Techniquement, les attributs RADIUS VPN 3000 ne doivent pas être configurés tant que le groupe de tunnels est configuré à l'étape 3 de la configuration du concentrateur VPN 3000 et que le groupe de base du concentrateur VPN ne change pas des paramètres par défaut d'origine.

      Attributs VPN 3000 recommandés :

      • Primary-DNS : saisissez l'adresse IP de votre serveur DNS principal.

      • Secondary-DNS : saisissez l'adresse IP de votre serveur DNS secondaire.

      • Primary-WINS : saisissez l'adresse IP de votre serveur WINS principal.

      • Secondary-WINS : saisissez l'adresse IP de votre serveur WINS secondaire.

      • Tunneling-Protocols : choisissez IPsec. Ceci autorise uniquement les connexions client IPsec. PPTP ou L2TP ne sont pas autorisés.

      • IPsec-Sec-Association - Entrez ESP-3DES-MD5. Cela garantit que tous vos clients IPsec se connectent avec le chiffrement le plus élevé disponible.

      • IPsec-Allow-Password-Store - Choisissez Disallow afin que les utilisateurs ne soient pas autorisés à enregistrer leur mot de passe dans le client VPN.

      • IPsec-Banner : saisissez une bannière de message de bienvenue à présenter à l'utilisateur lors de la connexion. Par exemple, « Bienvenue dans l'accès VPN des employés de MyCompany ! »

      • IPsec-Default Domain : saisissez le nom de domaine de votre société. Par exemple, « mycompany.com ».

      Cet ensemble d'attributs n'est pas nécessaire. Mais si vous n'êtes pas certain que les attributs de groupe de base du concentrateur VPN 3000 ont changé, Cisco vous recommande de configurer ces attributs :

      • Simultanée-Logins : saisissez le nombre de fois où vous autorisez un utilisateur à se connecter simultanément avec le même nom d'utilisateur. La recommandation est 1 ou 2.

      • SEP-Card-Assignment : choisissez Any-SEP.

      • IPsec-Mode-Config : choisissez ON.

      • IPsec over UDP - Choisissez OFF, à moins que vous ne souhaitiez que les utilisateurs de ce groupe se connectent à l'aide d'IPsec via le protocole UDP. Si vous sélectionnez ON, le client VPN a toujours la possibilité de désactiver localement IPsec sur UDP et de se connecter normalement.

      • IPsec over UDP Port : sélectionnez un numéro de port UDP compris entre 4001 et 49151. Ceci est utilisé uniquement si IPsec sur UDP est activé.

      L'ensemble d'attributs suivant nécessite que vous configuriez quelque chose sur le concentrateur VPN avant de pouvoir les utiliser. Ceci est recommandé uniquement pour les utilisateurs avancés.

      • Access-Hours : vous devez configurer une plage d'heures d'accès sur le concentrateur VPN 3000 sous Configuration > Policy Management. Utilisez plutôt les heures d'accès disponibles dans Cisco Secure ACS pour Windows pour gérer cet attribut.

      • IPsec-Split-Tunnel-List : vous devez configurer une liste réseau sur le concentrateur VPN sous Configuration > Policy Management > Traffic Management. Il s'agit d'une liste de réseaux envoyés au client qui lui demandent de chiffrer les données uniquement vers les réseaux de la liste.

   4. Choisissez l'affectation IP dans la configuration du groupe et cochez Assigned from AAA server Pool afin d'attribuer les adresses IP aux utilisateurs du client VPN une fois qu'ils ont été authentifiés.

      

      Choisissez Configuration du système > Pools d'adresses IP afin de créer un pool d'adresses IP pour les utilisateurs du client VPN et cliquez sur Envoyer .

      

      

   5. Choisissez Submit > Restart afin d'enregistrer la configuration et d'activer le nouveau groupe.

   6. Répétez ces étapes afin d'ajouter d'autres groupes.

3. Configurez les utilisateurs sur Cisco Secure ACS pour Windows.

   1. Choisissez User Setup, saisissez un nom d'utilisateur et cliquez sur Add/Edit.

      

   2. Configurez ces paramètres dans la section de configuration de l'utilisateur :

      

      • Authentification par mot de passe : sélectionnez ACS Internal Database.

      • Cisco Secure PAP - Password : saisissez un mot de passe pour l'utilisateur.

      • Cisco Secure PAP - Confirmer le mot de passe : saisissez à nouveau le mot de passe du nouvel utilisateur.

      • Groupe auquel l'utilisateur est affecté : sélectionnez le nom du groupe que vous avez créé à l'étape précédente.

   3. Cliquez sur Submit afin d'enregistrer et d'activer les paramètres utilisateur.

   4. Répétez ces étapes afin d'ajouter des utilisateurs supplémentaires.

Attribuer une adresse IP statique à l'utilisateur du client VPN

Procédez comme suit :

1. Créez un nouveau groupe VPN IPSECGRP.

2. Créez un utilisateur qui souhaite recevoir l'adresse IP statique et choisissez IPSECGRP. Choisissez Affecter une adresse IP statique avec l'adresse IP statique qui est attribuée sous Attribution d'adresse IP du client.

   

Configuration du client VPN

Cette section décrit la configuration côté client VPN.

1. Sélectionnez Start > Programs > Cisco Systems VPN Client > VPN Client (démarrer > programmes > client VPN Cisco Systems > client VPN).

2. Cliquez sur New [nouveau] pour ouvrir la fenêtre servant à créer une nouvelle entrée pour la connexion VPN.

   

3. Lorsque vous y êtes invité, attribuez un nom à votre entrée. Vous pouvez également entrer une description si vous le souhaitez. Spécifiez l'adresse IP de l'interface publique du concentrateur VPN 3000 dans la colonne Hôte et choisissez Authentification de groupe. Indiquez ensuite le nom et le mot de passe du groupe. Cliquez sur Save afin de terminer la nouvelle entrée de connexion VPN.

   

   Remarque : assurez-vous que le client VPN est configuré pour utiliser le même nom de groupe et le même mot de passe configurés dans le concentrateur de la gamme Cisco VPN 3000.

Ajoutez la gestion des comptes

Une fois que l'authentification fonctionne, vous pouvez ajouter la comptabilité.

1. Sur le VPN 3000, choisissez Configuration > System > Servers > Accounting Servers, puis ajoutez le serveur Cisco Secure ACS pour Windows.

2. Vous pouvez ajouter des serveurs de comptabilité individuels à chaque groupe lorsque vous choisissez Configuration > User Management > Groups, mettez en surbrillance un groupe et cliquez sur Modify Acct. Serveurs. Saisissez ensuite l'adresse IP du serveur de comptabilité avec le secret du serveur.

   

   Dans Cisco Secure ACS pour Windows, les enregistrements comptables apparaissent comme le montre ce résultat :

   

Vérification

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Vérifier le concentrateur VPN

Du côté du concentrateur VPN 3000, choisissez Administration > Administre Sessions afin de vérifier l'établissement du tunnel VPN distant.

Vérifier le client VPN

Complétez ces étapes afin de vérifier le client VPN.

1. Cliquez sur Connect afin d'initier une connexion VPN.

   

2. Cette fenêtre s'affiche pour l'authentification des utilisateurs. Entrez un nom d'utilisateur et un mot de passe valides afin d'établir la connexion VPN.

   

3. Le client VPN est connecté au concentrateur VPN 3000 du site central.

   

4. Sélectionnez Status > Statistics (état > statistiques) pour consulter les statistiques du tunnel liées au client VPN.

   

Dépannage

Complétez ces étapes afin de dépanner votre configuration.

1. Choisissez Configuration > System > Servers > Authentication et complétez ces étapes afin de tester la connectivité entre le serveur RADIUS et le concentrateur VPN 3000.

   1. Sélectionnez votre serveur, puis cliquez sur Test.

      

   2. Entrez le nom d'utilisateur et le mot de passe RADIUS, puis cliquez sur OK.

      

      Une authentification réussie apparaît.

      

2. En cas d'échec, un problème de configuration ou de connectivité IP se produit. Vérifiez les messages liés à l'échec de la connexion sur le serveur ACS.

   • Si aucun message n'apparaît dans ce journal, il y a probablement un problème de connectivité IP. La requête RADIUS n'atteint pas le serveur RADIUS. Vérifiez que les filtres appliqués à l'interface du concentrateur VPN 3000 appropriée permettent l'entrée et la sortie de paquets RADIUS (1645).

   • Si l'authentification de test réussit, mais que les connexions au concentrateur VPN 3000 continuent à échouer, vérifiez le journal des événements filtrables via le port de console.

   Si les connexions ne fonctionnent pas, vous pouvez ajouter des classes d'événements AUTH, IKE et IPsec au concentrateur VPN lorsque vous sélectionnez Configuration > System > Events > Classes > Modify (Severity to Log=1-9, Severity to Console=1-3). AUTHDBG, AUTHDECODE, IKEDBG, IKEDECODE, IPSECDBG et IPSECDECODE sont également disponibles, mais peuvent fournir trop d'informations. Si des informations détaillées sont nécessaires sur les attributs transmis à partir du serveur RADIUS, AUTHDECODE, IKEDECODE et IPSECDECODE fournissent ceci au niveau Severity to Log=1-13.

3. Récupérez le journal des événements à partir de Monitoring > Event Log.

   

Dépannage du client VPN 4.8 pour Windows

Complétez ces étapes afin de dépanner le client VPN 4.8 pour Windows.

1. Choisissez Log > Log settings afin d'activer les niveaux de journal dans le client VPN.

   

2. Choisissez Log > Log Window afin d'afficher les entrées de journal dans le client VPN.

   

Informations connexes

• Page d'assistance des concentrateurs VPN Cisco 3000
• Cisco VPN Client Support Page
• Négociation IPSec/Protocoles IKE
• Cisco Secure ACS pour la page d'assistance de Windows
• Configuration des filtres dynamiques sur un serveur RADIUS
• Support et documentation techniques - Cisco Systems