PIX/ASA- en VPN-client voor openbaar internet VPN op een Stick Configuration-voorbeeld

Downloadopties

PDF (2.1 MB)
Met Adobe Reader op diverse apparaten bekijken
ePub (2.5 MB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (2.8 MB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:26 september 2008

Document-id:67986

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Verwante producten

Conventies

Achtergrondinformatie

Haarspelden of bochten

Configuraties

Netwerkdiagram

CLI-configuratie van PIX/ASA

De ASA/PIX configureren met ASDM

VPN-clientconfiguratie

Verifiëren

VPN-clientverificatie

Problemen oplossen

Gerelateerde informatie

Inleiding

In dit document wordt beschreven hoe u een ASA security applicatie 7.2 kunt instellen en hoe u later IPsec op een stick kunt uitvoeren. Deze instelling is van toepassing op een specifiek geval waarbij de ASA geen split-tunneling toestaat en gebruikers direct verbinding maken met de ASA voordat ze van het internet gebruik mogen maken.

Opmerking: in PIX/ASA versie 7.2 en hoger wordt de intra-interface met het sleutelwoord kan al het verkeer dezelfde interface invoeren en verlaten, en niet alleen IPsec-verkeer.

Raadpleeg Router en VPN-client voor openbaar internet op een configuratievoorbeeld van een stok om een soortgelijke configuratie op een centrale locatierouter te voltooien.

Raadpleeg PIX/ASA 7.x Enhanced Spoke-to-Client VPN met het configuratievoorbeeld van TACACS+ verificatie om meer te weten te komen over het scenario waarin de hub PIX het verkeer van de VPN-client naar de spaak-PIX omleidt.

Opmerking: om overlapping van IP-adressen in het netwerk te voorkomen, wijst u een volledig andere pool van IP-adressen toe aan de VPN-client (bijvoorbeeld 10.x.x.x, 172.16.x.x en 192.168.x.x). Deze IP-adresseringsregeling is handig om problemen met uw netwerk op te lossen.

Voorwaarden

Vereisten

Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

De hub PIX/ASA security applicatie moet versie 7.2 of hoger uitvoeren
Cisco VPN-clientversie 5.x

Gebruikte componenten

De informatie in dit document is gebaseerd op versie 8.0.2 van het PIX- of ASA-beveiligingsapparaat en op Cisco VPN-clientversie 5.0.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

Deze configuratie kan ook worden gebruikt met Cisco PIX security applicatie versie 7.2 en hoger.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Haarspelden of bochten

Deze optie is handig voor VPN-verkeer dat een interface betreedt maar vervolgens uit dezelfde interface wordt gerouteerd. Als je bijvoorbeeld een hub-and-spoke VPN-netwerk hebt, waar het security apparaat de hub is, en de externe VPN-netwerken spokes zijn, moet verkeer naar het security apparaat gaan en dan weer naar de andere spoke.

Gebruik de opdracht verkeer met dezelfde beveiliging om verkeer dezelfde interface te laten invoeren en verlaten.

securityappliance(config)#
same-security-traffic permit intra-interface

Opmerking: haarspeling of ommezwaai is ook van toepassing voor VPN-client-naar-VPN-clientcommunicatie.

Configuraties

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

CLI-configuratie van PIX/ASA

PIX/ASA

Configuratie uitvoeren op PIX/ASA
PIX Version 8.0(2) names ! interface Ethernet0 nameif outside security-level 0 ip address 172.18.124.98 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 172.16.3.101 255.255.255.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall ftp mode passive !--- Command that permits IPsec traffic to enter and exit the same interface. same-security-traffic permit intra-interface access-list 100 extended permit icmp any any echo-reply pager lines 24 logging enable logging buffered debugging mtu outside 1500 mtu inside 1500 ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0 no failover monitor-interface outside monitor-interface inside icmp permit any outside no asdm history enable arp timeout 14400 nat-control !--- The address pool for the VPN Clients. !--- The global address for Internet access used by VPN Clients. !--- Note:* Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP.* global (outside) 1 172.18.124.166 !--- The NAT statement to define what to encrypt (the addresses from the vpn-pool). nat (outside) 1 192.168.10.0 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) 172.16.3.102 172.16.3.102 netmask 255.255.255.255 access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.18.124.98 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute !--- The configuration of group-policy for VPN Clients. group-policy clientgroup internal group-policy clientgroup attributes vpn-idle-timeout 20 !--- Forces VPN Clients over the tunnel for Internet access. split-tunnel-policy tunnelall no snmp-server location no snmp-server contact snmp-server enable traps snmp !--- Configuration of IPsec Phase 2. crypto ipsec transform-set myset esp-3des esp-sha-hmac !--- Crypto map configuration for VPN Clients that connect to this PIX. crypto dynamic-map rtpdynmap 20 set transform-set myset !--- Binds the dynamic map to the crypto map process. crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap !--- Crypto map applied to the outside interface. crypto map mymap interface outside !--- Enable ISAKMP on the outside interface. isakmp identity address isakmp enable outside !--- Configuration of ISAKMP policy. isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 !--- Configuration of tunnel-group with group information for VPN Clients. tunnel-group rtptacvpn type ipsec-ra !--- Configuration of group parameters for the VPN Clients. tunnel-group rtptacvpn general-attributes address-pool vpnpool !--- Disable user authentication. authentication-server-group none !--- Bind group-policy parameters to the tunnel-group for VPN Clients. default-group-policy clientgroup tunnel-group rtptacvpn ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0 : end

Configuratie uitvoeren op PIX/ASA

PIX Version 8.0(2)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 172.16.3.101 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
ftp mode passive

!--- Command that permits IPsec traffic to enter and exit the same interface.

same-security-traffic permit intra-interface
access-list 100 extended permit icmp any any echo-reply
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500

ip local pool vpnpool 
   192.168.10.1-192.168.10.254 mask 255.255.255.0

no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control
!--- The address pool for the VPN Clients.



!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP. 

global (outside) 1 172.18.124.166


!--- The NAT statement to define what to encrypt (the addresses from the vpn-pool).
 

nat (outside) 1 192.168.10.0 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.3.102 172.16.3.102 
   netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.124.98 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- The configuration of group-policy for VPN Clients.


group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20


!--- Forces VPN Clients over the tunnel for Internet access.


split-tunnel-policy tunnelall


no snmp-server location
no snmp-server contact
snmp-server enable traps snmp


!--- Configuration of IPsec Phase 2.


crypto ipsec transform-set myset esp-3des esp-sha-hmac


!--- Crypto map configuration for VPN Clients that connect to this PIX.


crypto dynamic-map rtpdynmap 20 set transform-set myset


!--- Binds the dynamic map to the crypto map process.


crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


!--- Crypto map applied to the outside interface.


crypto map mymap interface outside


!--- Enable ISAKMP on the outside interface.


isakmp identity address
isakmp enable outside


!--- Configuration of ISAKMP policy.


isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Configuration of tunnel-group with group information for VPN Clients.


tunnel-group rtptacvpn type ipsec-ra


!--- Configuration of group parameters for the VPN Clients.


tunnel-group rtptacvpn general-attributes
address-pool vpnpool


!--- Disable user authentication.


authentication-server-group none



!--- Bind group-policy parameters to the tunnel-group for VPN Clients.


default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
 inspect dns maximum-length 512
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect netbios
 inspect rsh
 inspect rtsp
 inspect skinny
 inspect esmtp
 inspect sqlnet
 inspect sunrpc
 inspect tftp
 inspect sip
 inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0
: end

De ASA/PIX configureren met ASDM

Voltooi deze stappen om Cisco ASA te configureren als een externe VPN-server met ASDM:

Kies Wizard Wizards > IPsec VPN in het hoofdvenster.
Kies het tunneltype van Remote Access VPN en zorg ervoor dat de VPN Tunnel Interface is ingesteld zoals gewenst.
Het enige beschikbare VPN-clienttype is al geselecteerd. Klik op Next (Volgende).
Voer een naam in voor de naam van de tunnelgroep. Verstrek de te gebruiken authentificatieinformatie.

Vooraf gedeelde sleutel wordt in dit voorbeeld gekozen.

Opmerking: er is geen manier om de vooraf gedeelde sleutel op de ASDM te verbergen/versleutelen. De reden is dat de ASDM alleen gebruikt mag worden door mensen die de ASA configureren of door mensen die de klant bij deze configuratie helpen.
Kies of u wilt dat externe gebruikers worden geverifieerd naar de lokale gebruikersdatabase of naar een externe AAA-servergroep.

Opmerking: u voegt gebruikers toe aan de lokale gebruikersdatabase in stap 6.

Opmerking: Raadpleeg PIX/ASA 7.x-verificatie- en autorisatieservergroepen voor VPN-gebruikers via ASDM Configuration Voorbeeld voor informatie over het configureren van een externe AAA-servergroep via ASDM.
Voeg indien nodig gebruikers toe aan de lokale database.

Opmerking: huidige gebruikers niet uit dit venster verwijderen. Kies Configuratie > Apparaatbeheer > Beheer > Gebruikersaccounts in het hoofdvenster van ASDM om bestaande vermeldingen in de database te bewerken of uit de database te verwijderen.
Definieer een pool van lokale adressen die dynamisch aan externe VPN-clients worden toegewezen wanneer deze verbinding maken.
Optioneel: Specificeer de DNS en WINS server informatie en een standaard domein naam te duwen naar externe VPN Clients.
Specificeer de parameters voor IKE, ook bekend als IKE fase 1.

Configuraties aan beide zijden van de tunnel moeten exact overeenkomen, maar de Cisco VPN-client kiest automatisch de juiste configuratie voor zichzelf. Op de client-pc is geen IKE-configuratie nodig.
Specificeer de parameters voor IPSec, ook bekend als IKE fase 2.

Configuraties aan beide zijden van de tunnel moeten exact overeenkomen, maar de Cisco VPN-client kiest automatisch de juiste configuratie voor zichzelf. Op de client-pc is geen IKE-configuratie nodig.
Specificeer welke interne hosts of netwerken eventueel kunnen worden blootgesteld aan externe VPN-gebruikers.

Als u deze lijst leeg laat, kunnen externe VPN-gebruikers toegang krijgen tot het gehele interne netwerk van de ASA.

U kunt ook gesplitste tunneling in dit venster inschakelen. Split-tunneling versleutelt verkeer naar de bronnen die eerder in deze procedure zijn gedefinieerd en biedt ongecodeerde toegang tot internet op grote schaal door dat verkeer niet te tunnelen. Als gesplitste tunneling niet is ingeschakeld, wordt al het verkeer van externe VPN-gebruikers getunneld naar de ASA. Dit kan zeer bandbreedte en processor-intensief worden, gebaseerd op uw configuratie.
Dit venster toont een samenvatting van de acties die u hebt ondernomen. Klik op Voltooien als u tevreden bent met de configuratie.
Configureer het verkeer met dezelfde beveiliging om verkeer tussen twee of meer hosts die met dezelfde interface zijn verbonden in te schakelen wanneer u op het selectievakje klikt zoals aangegeven:
Kies Configuratie > Firewall >NAT-regels en klik op Dynamische NAT-regel toevoegen om deze dynamische vertaling te maken met het gebruik van ASDM.
Kies binnen als de broninterface en voer de adressen in die u wilt NAT. Kies buiten voor Translate Address on Interface en klik op OK.
Kies buiten als de broninterface en voer de adressen in die u wilt NAT. Kies buiten voor Translate Address on Interface en klik op OK.
De vertaling verschijnt in de Vertaalregels bij Configuratie > Firewall >NAT-regels.

Noot 1: De opdracht Systeemverbinding vergunning-VPN moet worden geconfigureerd. Het show in werking stelt -in werking stellen-configuratiebevel verifieert als het wordt gevormd.

Noot 2: Voeg deze output toe voor het optionele UDP-transport:

group-policy clientgroup attributes
vpn-idle-timeout 20

ipsec-udp enable
ipsec-udp-port 10000

split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel

Opmerking 3: Deze opdracht configureren in de globale configuratie van het PIX-apparaat zodat VPN-clients via IPsec over TCP kunnen verbinden:


isakmp ipsec-over-tcp port 10000

N.B.: Raadpleeg de haarspeld op Cisco ASA-video voor meer informatie over verschillende scenario's waarin haarspeld kan worden gebruikt.

VPN-clientconfiguratie

Voltooi de volgende stappen om de VPN-client te configureren:

Kies Nieuw.
Voer de naam van de PIX-buiteninterface en het IP-adres en de tunnelgroep in, samen met het wachtwoord voor verificatie.
(Optioneel) Klik op Transparent Tunneling inschakelen onder het tabblad Transport. (Dit is facultatief en vereist de aanvullende PIX/ASA-configuratie vermeld in opmerking 2.)
Sla het profiel op.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

toon crypto isakmp sa —Hier worden alle huidige IKE security associaties (SA’s) aan een peer weergegeven.
toon crypto ipsec sa—Hier worden alle huidige SA's weergegeven. Zoek naar versleutel- en decryptiepakketten op de SPA die het VPN-clientverkeer definiëren.

Probeer te pingen of te bladeren naar een openbaar IP-adres van de client (bijvoorbeeld www.cisco.com).

Opmerking: de binneninterface van de PIX kan niet worden gepingd voor de vorming van een tunnel tenzij het management-access commando is geconfigureerd in globale bevestigingsmodus.

PIX1(config)#management-access inside
PIX1(config)#
show management-access

management-access inside

VPN-clientverificatie

Voltooi deze stappen om de VPN-client te verifiëren.

Klik met de rechtermuisknop op het VPN-clientvergrendelingspictogram dat na een succesvolle verbinding in het systeemvak aanwezig is en kies de optie voor statistieken om versleuteling en ontsleuteling te bekijken.
Klik op het tabblad Routedetails om te controleren of er geen splitsingen in de tunnellijst zijn doorgegeven vanaf het apparaat.