In dit document wordt beschreven hoe u een ASA security applicatie 7.2 kunt instellen en hoe u later IPsec op een stick kunt uitvoeren. Deze instelling is van toepassing op een specifiek geval waarbij de ASA geen split-tunneling toestaat en gebruikers direct verbinding maken met de ASA voordat ze van het internet gebruik mogen maken.
Opmerking: in PIX/ASA versie 7.2 en hoger wordt de intra-interface met het sleutelwoord kan al het verkeer dezelfde interface invoeren en verlaten, en niet alleen IPsec-verkeer.
Raadpleeg Router en VPN-client voor openbaar internet op een configuratievoorbeeld van een stok om een soortgelijke configuratie op een centrale locatierouter te voltooien.
Raadpleeg PIX/ASA 7.x Enhanced Spoke-to-Client VPN met het configuratievoorbeeld van TACACS+ verificatie om meer te weten te komen over het scenario waarin de hub PIX het verkeer van de VPN-client naar de spaak-PIX omleidt.
Opmerking: om overlapping van IP-adressen in het netwerk te voorkomen, wijst u een volledig andere pool van IP-adressen toe aan de VPN-client (bijvoorbeeld 10.x.x.x, 172.16.x.x en 192.168.x.x). Deze IP-adresseringsregeling is handig om problemen met uw netwerk op te lossen.
Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:
De hub PIX/ASA security applicatie moet versie 7.2 of hoger uitvoeren
Cisco VPN-clientversie 5.x
De informatie in dit document is gebaseerd op versie 8.0.2 van het PIX- of ASA-beveiligingsapparaat en op Cisco VPN-clientversie 5.0.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Deze configuratie kan ook worden gebruikt met Cisco PIX security applicatie versie 7.2 en hoger.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Deze optie is handig voor VPN-verkeer dat een interface betreedt maar vervolgens uit dezelfde interface wordt gerouteerd. Als je bijvoorbeeld een hub-and-spoke VPN-netwerk hebt, waar het security apparaat de hub is, en de externe VPN-netwerken spokes zijn, moet verkeer naar het security apparaat gaan en dan weer naar de andere spoke.
Gebruik de opdracht verkeer met dezelfde beveiliging om verkeer dezelfde interface te laten invoeren en verlaten.
securityappliance(config)# same-security-traffic permit intra-interface
Opmerking: haarspeling of ommezwaai is ook van toepassing voor VPN-client-naar-VPN-clientcommunicatie.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
Configuratie uitvoeren op PIX/ASA |
---|
PIX Version 8.0(2) names ! interface Ethernet0 nameif outside security-level 0 ip address 172.18.124.98 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 172.16.3.101 255.255.255.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall ftp mode passive !--- Command that permits IPsec traffic to enter and exit the same interface. same-security-traffic permit intra-interface access-list 100 extended permit icmp any any echo-reply pager lines 24 logging enable logging buffered debugging mtu outside 1500 mtu inside 1500 ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0 no failover monitor-interface outside monitor-interface inside icmp permit any outside no asdm history enable arp timeout 14400 nat-control !--- The address pool for the VPN Clients. !--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP. global (outside) 1 172.18.124.166 !--- The NAT statement to define what to encrypt (the addresses from the vpn-pool). nat (outside) 1 192.168.10.0 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) 172.16.3.102 172.16.3.102 netmask 255.255.255.255 access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.18.124.98 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute !--- The configuration of group-policy for VPN Clients. group-policy clientgroup internal group-policy clientgroup attributes vpn-idle-timeout 20 !--- Forces VPN Clients over the tunnel for Internet access. split-tunnel-policy tunnelall no snmp-server location no snmp-server contact snmp-server enable traps snmp !--- Configuration of IPsec Phase 2. crypto ipsec transform-set myset esp-3des esp-sha-hmac !--- Crypto map configuration for VPN Clients that connect to this PIX. crypto dynamic-map rtpdynmap 20 set transform-set myset !--- Binds the dynamic map to the crypto map process. crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap !--- Crypto map applied to the outside interface. crypto map mymap interface outside !--- Enable ISAKMP on the outside interface. isakmp identity address isakmp enable outside !--- Configuration of ISAKMP policy. isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 !--- Configuration of tunnel-group with group information for VPN Clients. tunnel-group rtptacvpn type ipsec-ra !--- Configuration of group parameters for the VPN Clients. tunnel-group rtptacvpn general-attributes address-pool vpnpool !--- Disable user authentication. authentication-server-group none !--- Bind group-policy parameters to the tunnel-group for VPN Clients. default-group-policy clientgroup tunnel-group rtptacvpn ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0 : end |
Voltooi deze stappen om Cisco ASA te configureren als een externe VPN-server met ASDM:
Kies Wizard Wizards > IPsec VPN in het hoofdvenster.
Kies het tunneltype van Remote Access VPN en zorg ervoor dat de VPN Tunnel Interface is ingesteld zoals gewenst.
Het enige beschikbare VPN-clienttype is al geselecteerd. Klik op Next (Volgende).
Voer een naam in voor de naam van de tunnelgroep. Verstrek de te gebruiken authentificatieinformatie.
Vooraf gedeelde sleutel wordt in dit voorbeeld gekozen.
Opmerking: er is geen manier om de vooraf gedeelde sleutel op de ASDM te verbergen/versleutelen. De reden is dat de ASDM alleen gebruikt mag worden door mensen die de ASA configureren of door mensen die de klant bij deze configuratie helpen.
Kies of u wilt dat externe gebruikers worden geverifieerd naar de lokale gebruikersdatabase of naar een externe AAA-servergroep.
Opmerking: u voegt gebruikers toe aan de lokale gebruikersdatabase in stap 6.
Opmerking: Raadpleeg PIX/ASA 7.x-verificatie- en autorisatieservergroepen voor VPN-gebruikers via ASDM Configuration Voorbeeld voor informatie over het configureren van een externe AAA-servergroep via ASDM.
Voeg indien nodig gebruikers toe aan de lokale database.
Opmerking: huidige gebruikers niet uit dit venster verwijderen. Kies Configuratie > Apparaatbeheer > Beheer > Gebruikersaccounts in het hoofdvenster van ASDM om bestaande vermeldingen in de database te bewerken of uit de database te verwijderen.
Definieer een pool van lokale adressen die dynamisch aan externe VPN-clients worden toegewezen wanneer deze verbinding maken.
Optioneel: Specificeer de DNS en WINS server informatie en een standaard domein naam te duwen naar externe VPN Clients.
Specificeer de parameters voor IKE, ook bekend als IKE fase 1.
Configuraties aan beide zijden van de tunnel moeten exact overeenkomen, maar de Cisco VPN-client kiest automatisch de juiste configuratie voor zichzelf. Op de client-pc is geen IKE-configuratie nodig.
Specificeer de parameters voor IPSec, ook bekend als IKE fase 2.
Configuraties aan beide zijden van de tunnel moeten exact overeenkomen, maar de Cisco VPN-client kiest automatisch de juiste configuratie voor zichzelf. Op de client-pc is geen IKE-configuratie nodig.
Specificeer welke interne hosts of netwerken eventueel kunnen worden blootgesteld aan externe VPN-gebruikers.
Als u deze lijst leeg laat, kunnen externe VPN-gebruikers toegang krijgen tot het gehele interne netwerk van de ASA.
U kunt ook gesplitste tunneling in dit venster inschakelen. Split-tunneling versleutelt verkeer naar de bronnen die eerder in deze procedure zijn gedefinieerd en biedt ongecodeerde toegang tot internet op grote schaal door dat verkeer niet te tunnelen. Als gesplitste tunneling niet is ingeschakeld, wordt al het verkeer van externe VPN-gebruikers getunneld naar de ASA. Dit kan zeer bandbreedte en processor-intensief worden, gebaseerd op uw configuratie.
Dit venster toont een samenvatting van de acties die u hebt ondernomen. Klik op Voltooien als u tevreden bent met de configuratie.
Configureer het verkeer met dezelfde beveiliging om verkeer tussen twee of meer hosts die met dezelfde interface zijn verbonden in te schakelen wanneer u op het selectievakje klikt zoals aangegeven:
Kies Configuratie > Firewall >NAT-regels en klik op Dynamische NAT-regel toevoegen om deze dynamische vertaling te maken met het gebruik van ASDM.
Kies binnen als de broninterface en voer de adressen in die u wilt NAT. Kies buiten voor Translate Address on Interface en klik op OK.
Kies buiten als de broninterface en voer de adressen in die u wilt NAT. Kies buiten voor Translate Address on Interface en klik op OK.
De vertaling verschijnt in de Vertaalregels bij Configuratie > Firewall >NAT-regels.
Noot 1: De opdracht Systeemverbinding vergunning-VPN moet worden geconfigureerd. Het show in werking stelt -in werking stellen-configuratiebevel verifieert als het wordt gevormd.
Noot 2: Voeg deze output toe voor het optionele UDP-transport:
group-policy clientgroup attributes vpn-idle-timeout 20 ipsec-udp enable ipsec-udp-port 10000 split-tunnel-policy tunnelspecified split-tunnel-network-list value splittunnel
Opmerking 3: Deze opdracht configureren in de globale configuratie van het PIX-apparaat zodat VPN-clients via IPsec over TCP kunnen verbinden:
isakmp ipsec-over-tcp port 10000
N.B.: Raadpleeg de haarspeld op Cisco ASA-video voor meer informatie over verschillende scenario's waarin haarspeld kan worden gebruikt.
Voltooi de volgende stappen om de VPN-client te configureren:
Kies Nieuw.
Voer de naam van de PIX-buiteninterface en het IP-adres en de tunnelgroep in, samen met het wachtwoord voor verificatie.
(Optioneel) Klik op Transparent Tunneling inschakelen onder het tabblad Transport. (Dit is facultatief en vereist de aanvullende PIX/ASA-configuratie vermeld in opmerking 2.)
Sla het profiel op.
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.
toon crypto isakmp sa —Hier worden alle huidige IKE security associaties (SA’s) aan een peer weergegeven.
toon crypto ipsec sa—Hier worden alle huidige SA's weergegeven. Zoek naar versleutel- en decryptiepakketten op de SPA die het VPN-clientverkeer definiëren.
Probeer te pingen of te bladeren naar een openbaar IP-adres van de client (bijvoorbeeld www.cisco.com).
Opmerking: de binneninterface van de PIX kan niet worden gepingd voor de vorming van een tunnel tenzij het management-access commando is geconfigureerd in globale bevestigingsmodus.
PIX1(config)#management-access inside PIX1(config)# show management-access management-access inside
Voltooi deze stappen om de VPN-client te verifiëren.
Klik met de rechtermuisknop op het VPN-clientvergrendelingspictogram dat na een succesvolle verbinding in het systeemvak aanwezig is en kies de optie voor statistieken om versleuteling en ontsleuteling te bekijken.
Klik op het tabblad Routedetails om te controleren of er geen splitsingen in de tunnellijst zijn doorgegeven vanaf het apparaat.
Opmerking: Raadpleeg VPN-oplossingen voor probleemoplossing voor meer informatie over het oplossen van VPN-problemen.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
25-Oct-2005 |
Eerste vrijgave |