Stick 컨피그레이션의 공용 인터넷 VPN용 PIX/ASA 및 VPN 클라이언트 예

소개

이 문서에서는 스틱에서 IPsec을 수행하도록 ASA Security Appliance 7.2 이상을 설정하는 방법에 대해 설명합니다. 이 설정은 ASA에서 스플릿 터널링을 허용하지 않는 경우에 적용되며, 사용자는 인터넷으로의 이동이 허용되기 전에 ASA에 직접 연결합니다.

참고: PIX/ASA 버전 7.2 이상에서는 내부 인터페이스 키워드는 모든 트래픽이 IPsec 트래픽뿐만 아니라 동일한 인터페이스로 들어오고 나갈 수 있게 합니다.

중앙 사이트 라우터에서 유사한 컨피그레이션을 완료하려면 Stick 컨피그레이션 예의 공용 인터넷용 라우터 및 VPN 클라이언트를 참조하십시오.

허브 PIX가 VPN 클라이언트에서 스포크 PIX로 트래픽을 리디렉션하는 시나리오에 대한 자세한 내용은 PIX/ASA 7.x Enhanced Spoke-to-Client VPN with TACACS+ Authentication Configuration Example을 참조하십시오.

참고: 네트워크에서 IP 주소가 중복되지 않도록 하려면 VPN 클라이언트에 완전히 다른 IP 주소 풀(예: 10.x.x.x, 172.16.x.x 및 192.168.x.x)을 할당합니다. 이 IP 주소 지정 체계는 네트워크 문제를 해결하는 데 유용합니다.

사전 요구 사항

요구 사항

이 컨피그레이션을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

• 허브 PIX/ASA 보안 어플라이언스는 버전 7.2 이상을 실행해야 합니다

• Cisco VPN Client 버전 5.x

사용되는 구성 요소

이 문서의 정보는 PIX 또는 ASA 보안 어플라이언스 버전 8.0.2 및 Cisco VPN Client 버전 5.0을 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

관련 제품

이 컨피그레이션은 Cisco PIX Security Appliance 버전 7.2 이상에서도 사용할 수 있습니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

배경 정보

헤어피닝 또는 U-턴

이 기능은 인터페이스에 진입하지만 동일한 인터페이스에서 라우팅되는 VPN 트래픽에 유용합니다. 예를 들어, 보안 어플라이언스가 허브인 허브 앤 스포크 VPN 네트워크가 있고 원격 VPN 네트워크가 스포크인 경우, 한 스포크가 다른 스포크와 통신하려면 트래픽이 보안 어플라이언스로 이동한 다음 다시 다른 스포크로 전달되어야 합니다.

트래픽이 동일한 인터페이스로 들어오고 나가도록 허용하려면 same-security-traffic 명령을 사용합니다.

securityappliance(config)#
same-security-traffic permit intra-interface

참고: 헤어피닝 또는 U-turn은 VPN 클라이언트와 VPN 클라이언트 간 통신에도 적용됩니다.

설정

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 이 섹션에 사용된 명령에 대한 자세한 내용을 보려면 명령 조회 도구(등록된 고객만 해당)를 사용하십시오.

네트워크 다이어그램

이 문서에서는 이 네트워크 설정을 사용합니다.

PIX/ASA의 CLI 컨피그레이션

• PIX/ASA

PIX Version 8.0(2)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 172.16.3.101 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
ftp mode passive

!--- Command that permits IPsec traffic to enter and exit the same interface.

same-security-traffic permit intra-interface
access-list 100 extended permit icmp any any echo-reply
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500

ip local pool vpnpool 
   192.168.10.1-192.168.10.254 mask 255.255.255.0

no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control
!--- The address pool for the VPN Clients.



!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP. 

global (outside) 1 172.18.124.166


!--- The NAT statement to define what to encrypt (the addresses from the vpn-pool).
 

nat (outside) 1 192.168.10.0 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.3.102 172.16.3.102 
   netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.124.98 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- The configuration of group-policy for VPN Clients.


group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20


!--- Forces VPN Clients over the tunnel for Internet access.


split-tunnel-policy tunnelall


no snmp-server location
no snmp-server contact
snmp-server enable traps snmp


!--- Configuration of IPsec Phase 2.


crypto ipsec transform-set myset esp-3des esp-sha-hmac


!--- Crypto map configuration for VPN Clients that connect to this PIX.


crypto dynamic-map rtpdynmap 20 set transform-set myset


!--- Binds the dynamic map to the crypto map process.


crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


!--- Crypto map applied to the outside interface.


crypto map mymap interface outside


!--- Enable ISAKMP on the outside interface.


isakmp identity address
isakmp enable outside


!--- Configuration of ISAKMP policy.


isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Configuration of tunnel-group with group information for VPN Clients.


tunnel-group rtptacvpn type ipsec-ra


!--- Configuration of group parameters for the VPN Clients.


tunnel-group rtptacvpn general-attributes
address-pool vpnpool


!--- Disable user authentication.


authentication-server-group none



!--- Bind group-policy parameters to the tunnel-group for VPN Clients.


default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
 inspect dns maximum-length 512
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect netbios
 inspect rsh
 inspect rtsp
 inspect skinny
 inspect esmtp
 inspect sqlnet
 inspect sunrpc
 inspect tftp
 inspect sip
 inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0
: end

ASDM으로 ASA/PIX 구성

Cisco ASA를 ASDM과 함께 원격 VPN 서버로 구성하려면 다음 단계를 완료하십시오.

1. 홈 창에서 Wizards > IPsec VPN Wizard를 선택합니다.

   

2. 원격 액세스 VPN 터널 유형을 선택하고 VPN 터널 인터페이스가 원하는 대로 설정되었는지 확인합니다.

   

3. 사용 가능한 VPN 클라이언트 유형만 이미 선택되어 있습니다. Next(다음)를 클릭합니다.

   

4. 터널 그룹 이름의 이름을 입력합니다. 사용할 인증 정보를 제공합니다.

   이 예에서는 사전 공유 키가 선택됩니다.

   

   참고: ASDM에서 사전 공유 키를 숨기거나 암호화하는 방법은 없습니다. 그 이유는 ASDM은 ASA를 구성하는 사람 또는 이 컨피그레이션을 통해 고객을 지원하는 사람만 사용해야 하기 때문입니다.

5. 원격 사용자를 로컬 사용자 데이터베이스에 인증할지 또는 외부 AAA 서버 그룹에 인증할지를 선택합니다.

   주: 6단계에서 로컬 사용자 데이터베이스에 사용자를 추가합니다.

   참고: ASDM을 통해 외부 AAA 서버 그룹을 구성하는 방법에 대한 자세한 내용은 ASDM을 통한 VPN 사용자를 위한 PIX/ASA 7.x Authentication and Authorization Server Groups를 참조하십시오.

   

6. 필요한 경우 로컬 데이터베이스에 사용자를 추가합니다.

   참고: 이 창에서 현재 사용자를 제거하지 마십시오. 데이터베이스의 기존 항목을 편집하거나 데이터베이스에서 제거하려면 기본 ASDM 창에서 Configuration > Device Administration > Administration > User Accounts를 선택합니다.

   

7. 원격 VPN 클라이언트가 연결할 때 동적으로 할당할 로컬 주소 풀을 정의합니다.

   

8. 선택 사항: 원격 VPN 클라이언트에 푸시할 DNS 및 WINS 서버 정보와 기본 도메인 이름을 지정합니다.

   

9. IKE Phase 1이라고도 하는 IKE에 대한 매개변수를 지정합니다.

   터널의 양쪽에 있는 컨피그레이션은 정확히 일치해야 하지만 Cisco VPN Client가 자동으로 적절한 컨피그레이션을 선택합니다. 클라이언트 PC에서 IKE 컨피그레이션이 필요하지 않습니다.

   

10. IKE Phase 2라고도 하는 IPSec에 대한 매개변수를 지정합니다.

    터널의 양쪽에 있는 컨피그레이션은 정확히 일치해야 하지만 Cisco VPN Client가 자동으로 적절한 컨피그레이션을 선택합니다. 클라이언트 PC에서 IKE 컨피그레이션이 필요하지 않습니다.

    

11. 원격 VPN 사용자에게 노출될 수 있는 내부 호스트 또는 네트워크(있는 경우)를 지정합니다.

    이 목록을 비워 두면 원격 VPN 사용자가 ASA의 전체 내부 네트워크에 액세스할 수 있습니다.

    이 창에서 스플릿 터널링을 활성화할 수도 있습니다. 스플릿 터널링은 이 절차의 앞부분에서 정의한 리소스에 대한 트래픽을 암호화하고, 해당 트래픽을 터널링하지 않음으로써 전체적으로 인터넷에 대한 암호화되지 않은 액세스를 제공합니다. 스플릿 터널링이 활성화되지 않으면 원격 VPN 사용자의 모든 트래픽이 ASA로 터널링됩니다. 이는 컨피그레이션에 따라 매우 대역폭 및 프로세서 집약적인 수준이 될 수 있습니다.

    

12. 이 창에는 수행한 작업의 요약이 표시됩니다. 컨피그레이션에 만족하면 Finish(마침)를 클릭합니다.

    

13. 다음과 같이 확인란을 클릭할 때 동일한 인터페이스에 연결된 둘 이상의 호스트 간에 트래픽을 활성화하려면 same-security-traffic 명령을 구성합니다.

    

14. ASDM을 사용하여 이 동적 변환을 생성하려면 Configuration(컨피그레이션) > Firewall(방화벽) > NAT Rules(NAT 규칙)를 선택하고 Add Dynamic NAT Rule(동적 NAT 규칙 추가)을 클릭합니다.

    

15. inside를 소스 인터페이스로 선택하고 NAT할 주소를 입력합니다. Translate Address on Interface(인터페이스에서 주소 변환)의 경우 outside(외부)를 선택하고 OK(확인)를 클릭합니다.

    

16. 소스 인터페이스로 outside를 선택하고 NAT할 주소를 입력합니다. Translate Address on Interface(인터페이스에서 주소 변환)의 경우 outside(외부)를 선택하고 OK(확인)를 클릭합니다.

    

17. 변환은 Configuration(컨피그레이션) > Firewall(방화벽) >NAT Rules(NAT 규칙)의 Translation Rules(변환 규칙)에 표시됩니다.

    

참고 1: sysopt connection permit-vpn 명령을 구성해야 합니다. show running-config sysopt 명령은 구성 여부를 확인합니다.

참고 2: 선택적 UDP 전송에 대해 이 출력을 추가합니다.

group-policy clientgroup attributes
vpn-idle-timeout 20

ipsec-udp enable
ipsec-udp-port 10000

split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel

참고 3: VPN 클라이언트가 TCP를 통해 IPsec을 통해 연결할 수 있도록 PIX 어플라이언스의 전역 컨피그레이션에서 이 명령을 구성합니다.

isakmp ipsec-over-tcp port 10000

참고: 헤어피닝을 사용할 수 있는 여러 가지 시나리오에 대한 자세한 내용은 Cisco ASA 비디오의 헤어피닝 비디오를 참조하십시오.

VPN 클라이언트 컨피그레이션

VPN 클라이언트를 구성하려면 다음 단계를 완료합니다.

1. 새로 만들기를 선택합니다.

   

2. 인증을 위한 비밀번호와 함께 PIX 외부 인터페이스 ip 주소 및 터널 그룹 이름을 입력합니다.

   

3. (선택 사항) Transport(전송) 탭에서 Enable Transparent Tunneling(투명 터널링 활성화)을 클릭합니다. (이는 선택 사항이며 참고 2에 언급된 추가 PIX/ASA 컨피그레이션이 필요합니다.)

   

4. 프로파일을 저장합니다.

다음을 확인합니다.

설정이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

OIT(Output Interpreter Tool)(등록된 고객만 해당)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력 분석을 볼 수 있습니다.

• show crypto isakmp sa - 피어의 모든 현재 IKE SA(Security Association)를 표시합니다.

• show crypto ipsec sa - 모든 현재 SA를 표시합니다. VPN 클라이언트 트래픽을 정의하는 SA에서 암호화 및 암호 해독 패킷을 확인합니다.

클라이언트에서 공용 IP 주소(예: www.cisco.com)로 ping하거나 찾아봅니다.

참고: 전역 컨피그레이션 모드에서 management-access 명령을 구성하지 않으면 PIX의 내부 인터페이스를 터널 형성에 대해 ping할 수 없습니다.

PIX1(config)#management-access inside
PIX1(config)#
show management-access

management-access inside

VPN 클라이언트 확인

VPN 클라이언트를 확인하려면 다음 단계를 완료하십시오.

1. 연결이 성공한 후 시스템 트레이에 있는 VPN 클라이언트 잠금 아이콘을 마우스 오른쪽 단추로 클릭하고 통계 옵션을 선택하여 암호화 및 암호 해독을 봅니다.

2. 어플라이언스에서 전달된 no split-tunnel(스플릿 터널 없음) 목록을 확인하려면 Route Details(경로 세부사항) 탭을 클릭합니다.

문제 해결

참고: VPN 문제 해결 방법에 대한 자세한 내용은 VPN 문제 해결 솔루션을 참조하십시오.

관련 정보

• PIX Security Appliance 버전 7.0의 향상된 스포크-투-클라이언트 VPN 컨피그레이션 예
• Cisco VPN 클라이언트
• IPSec 협상/IKE 프로토콜
• Cisco PIX 방화벽 소프트웨어
• Cisco Secure PIX Firewall 명령 참조
• 보안 제품 필드 알림(PIX 포함)
• Cisco ASA에서 헤어핀
• RFC(설명 요청)
• 기술 지원 및 문서 − Cisco Systems