Dit document beschrijft hoe u de Cisco 5500 Series adaptieve security applicatie (ASA) kunt configureren om als een externe VPN-server te fungeren met behulp van Adaptieve Security Device Manager (ASDM) of CLI. De ASDM levert beveiligingsbeheer en -bewaking van wereldklasse via een intuïtieve, gebruiksvriendelijke webgebaseerde beheerinterface. Nadat de Cisco ASA-configuratie is voltooid, kan deze worden geverifieerd met de Cisco VPN-client.
Raadpleeg PIX/ASA 7.x en Cisco VPN Client 4.x met Windows 2003 IAS RADIUS (Against Active Directory) Verificatievoorbeeld om de externe VPN-verbinding tussen een Cisco VPN-client (4.x voor Windows) en de PIX 500 Series security applicatie 7.x in te stellen. De externe VPN-clientgebruiker verifieert via de Active Directory met een Microsoft Windows 2003 Internet Verification Service (IAS) RADIUS-server.
Raadpleeg PIX/ASA 7.x en Cisco VPN Client 4.x voor Cisco Secure ACS-verificatie - configuratievoorbeeld om een VPN-verbinding voor externe toegang tussen een Cisco VPN-client (4.x voor Windows) en de PIX 500 Series security applicatie 7.x in te stellen met behulp van een Cisco Secure Access Control Server (ACS versie 3.2) voor uitgebreide verificatie (Xauth).
Dit document gaat ervan uit dat de ASA volledig operationeel is en geconfigureerd om Cisco ASDM of CLI in staat te stellen configuratiewijzigingen door te voeren.
Opmerking: Raadpleeg Toestaan van HTTPS-toegang voor ASDM of PIX/ASA 7.x: SSH in het configuratievoorbeeld van de binnen- en buitenkant-interface om het apparaat op afstand te kunnen configureren door de ASDM of Secure Shell (SSH).
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Software voor Cisco adaptieve security applicatie versie 7.x en hoger
Adaptieve Security Device Manager versie 5.x en hoger
Cisco VPN-clientversie 4.x en hoger
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Deze configuratie kan ook worden gebruikt met Cisco PIX security applicatie versie 7.x en hoger.
Configuraties voor externe toegang bieden beveiligde externe toegang voor Cisco VPN-clients, zoals mobiele gebruikers. Een externe VPN-toegang stelt externe gebruikers veilig in staat toegang te krijgen tot gecentraliseerde netwerkbronnen. De Cisco VPN-client voldoet aan het IPSec-protocol en is specifiek ontworpen om met het security apparaat te werken. Het security apparaat kan echter wel IPsec-verbindingen tot stand brengen met veel protocolconforme clients. Raadpleeg de ASA Configuration Guides voor meer informatie over IPSec.
Groepen en gebruikers zijn kernconcepten in het beheer van de beveiliging van VPN’s en in de configuratie van het security apparaat. Zij specificeren eigenschappen die gebruikerstoegang tot en gebruik van VPN bepalen. Een groep is een verzameling gebruikers die als één entiteit worden behandeld. Gebruikers krijgen hun kenmerken van groepsbeleid. Tunnelgroepen identificeren het groepsbeleid voor een specifieke verbinding. Als u geen bepaald groepsbeleid aan gebruikers toewijst, is het standaardgroepsbeleid voor de verbinding van toepassing.
Een tunnelgroep bestaat uit een verzameling records die het tunnelverbindingsbeleid bepaalt. Deze records identificeren de servers waarnaar de tunnelgebruikers zijn geauthenticeerd, evenals de eventuele accountingservers waarnaar de verbindingsinformatie wordt verzonden. Zij identificeren ook een standaardgroepsbeleid voor de verbindingen, en zij bevatten protocol-specifieke verbindingsparameters. Tunnelgroepen bevatten een klein aantal attributen die betrekking hebben op de creatie van de tunnel zelf. Tunnelgroepen bevatten een aanwijzer naar een groepsbeleid dat gebruikersgeoriënteerde kenmerken definieert.
N.B.: In de voorbeeldconfiguratie in dit document worden lokale gebruikersaccounts gebruikt voor verificatie. Als u een andere service wilt gebruiken, zoals LDAP en RADIUS, raadpleegt u Een externe RADIUS-server configureren voor autorisatie en verificatie.
De Internet Security Association en Key Management Protocol (ISAKMP), ook wel IKE genoemd, is het onderhandelingsprotocol dat hosts overeenstemming bereiken over het bouwen van een IPSec Security Association. Elke ISAKMP-onderhandeling is verdeeld in twee secties, fase 1 en fase 2. Fase1 maakt de eerste tunnel om latere ISAKMP-onderhandelingsberichten te beschermen. Fase2 maakt de tunnel die gegevens beschermt die over de beveiligde verbinding worden verzonden. Raadpleeg ISAKMP Policy Keywords voor CLI Commands voor meer informatie over ISAKMP.
Voltooi deze stappen om Cisco ASA met ASDM als een externe VPN-server te configureren:
Selecteer Wizard > VPN in het hoofdvenster.
Selecteer het tunneltype van Remote Access VPN en zorg ervoor dat de VPN Tunnel Interface is ingesteld zoals gewenst.
Het enige VPN-clienttype dat beschikbaar is, is al geselecteerd. Klik op Next (Volgende).
Voer een naam in voor de naam van de tunnelgroep. Verstrek de te gebruiken authentificatieinformatie.
Vooraf gedeelde sleutel wordt in dit voorbeeld geselecteerd.
Opmerking: er is geen manier om de vooraf gedeelde sleutel op de ASDM te verbergen/versleutelen. De reden is dat de ASDM alleen gebruikt mag worden door mensen die de ASA configureren of door mensen die de klant bij deze configuratie helpen.
Kies of u wilt dat externe gebruikers worden geverifieerd naar de lokale gebruikersdatabase of naar een externe AAA-servergroep.
Opmerking: u voegt gebruikers toe aan de lokale gebruikersdatabase in stap 6.
Opmerking: Raadpleeg PIX/ASA 7.x-verificatie- en autorisatieservergroepen voor VPN-gebruikers via ASDM Configuration Voorbeeld voor informatie over het configureren van een externe AAA-servergroep via ASDM.
Voeg indien nodig gebruikers toe aan de lokale database.
Opmerking: verwijder bestaande gebruikers niet uit dit venster. Selecteer Configuratie > Apparaatbeheer > Beheer > Gebruikersaccounts in het hoofdvenster van ASDM om bestaande vermeldingen in de database te bewerken of uit de database te verwijderen.
Definieer een pool van lokale adressen die dynamisch aan externe VPN-clients worden toegewezen wanneer deze verbinding maken.
Optioneel: Specificeer de DNS en WINS server informatie en een standaard domein naam te duwen naar externe VPN Clients.
Specificeer de parameters voor IKE, ook bekend als IKE fase 1.
Configuraties aan beide zijden van de tunnel moeten exact overeenkomen. De Cisco VPN-client selecteert echter automatisch de juiste configuratie voor zichzelf. Daarom is er geen IKE-configuratie nodig op de client-pc.
Specificeer de parameters voor IPSec, ook bekend als IKE fase 2.
Configuraties aan beide zijden van de tunnel moeten exact overeenkomen. De Cisco VPN-client selecteert echter automatisch de juiste configuratie voor zichzelf. Daarom is er geen IKE-configuratie nodig op de client-pc.
Specificeer welke eventuele interne hosts of netwerken moeten worden blootgesteld aan externe VPN-gebruikers.
Als u deze lijst leeg laat, kunnen externe VPN-gebruikers toegang krijgen tot het gehele interne netwerk van de ASA.
U kunt ook gesplitste tunneling in dit venster inschakelen. Split-tunneling versleutelt verkeer naar de bronnen die eerder in deze procedure zijn gedefinieerd en biedt ongecodeerde toegang tot internet op grote schaal door dat verkeer niet te tunnelen. Als gesplitste tunneling niet is ingeschakeld, wordt al het verkeer van externe VPN-gebruikers getunneld naar de ASA. Dit kan zeer bandbreedte en processor-intensief worden, gebaseerd op uw configuratie.
Dit venster toont een samenvatting van de acties die u hebt ondernomen. Klik op Voltooien als u tevreden bent met de configuratie.
Voltooi deze stappen om een externe VPN Access Server te configureren vanaf de opdrachtregel. Raadpleeg Remote Access VPN’s configureren of Cisco ASA 5500 Series adaptieve security applicaties-commando referenties voor meer informatie over elke opdracht die wordt gebruikt.
Voer de opdracht voor de lokale IP-pool in in de globale configuratiemodus om IP-adrespools te configureren voor gebruik voor VPN-tunnels voor externe toegang. Als u adrespools wilt verwijderen, voert u de nrs-vorm van deze opdracht in.
Het beveiligingstoestel maakt gebruik van adrespools die zijn gebaseerd op de tunnelgroep voor de verbinding. Als u meer dan één adrespool voor een tunnelgroep configureert, gebruikt het beveiligingsapparaat deze in de volgorde waarin ze zijn geconfigureerd. Geef deze opdracht uit om een pool van lokale adressen te maken die kan worden gebruikt om dynamische adressen toe te wijzen aan externe VPN-clients:
ASA-AIP-CLI(config)#ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0
Voer de volgende opdracht uit:
ASA-AIP-CLI(config)#username marty password 12345678
Geef deze reeks opdrachten uit om de specifieke tunnel te configureren:
ASA-AIP-CLI (configuratie)#isakmp-beleid 1 verificatie vooraf delen
ASA-AIP-CLI (configuratie)#isakmp-beleid 1 encryptie-3des
ASA-AIP-CLI (configuratie)#isakmp beleid 1 hash sha
ASA 850-AIP-CLI (configuratie)#isakmp-beleid 1 groep 2
ASA-AIP-CLI (configuratie)#isakmp-beleid 1 43200
ASA-AIP-CLI (configuratie)#isakmp inschakelen buiten
ASA-AIP-CLI (configuratie)#crypto IPsec transformatie-set ESP-3DES-SHA esp-3des-sha-hmac
ASA-AIP-CLI (configuratie)#crypto dynamisch-map external_dyn_map 10 set transformatie-set ESP-3DES-SHA
ASA-AIP-CLI (configuratie)#crypto dynamisch-map outside_dyn_map 10 set omgekeerde route
ASA-AIP-CLI (configuratie)#crypto dynamisch-map outside_dyn_map 10 ingestelde security-associatielevenseconden 288000
ASA-AIP-CLI (configuratie)#crypto kaart buitenkant_map 10 ipsec-isakmp dynamisch buiten_dyn_map
ASA-AIP-CLI (configuratie)#crypto kaart buiten_map interface
ASA 5500-AIP-CLI (configuratie)#crypto isakmp NAT-trauniversal
Optioneel: Als u wilt dat de verbinding de toegangslijst mist die op de interface wordt toegepast, geeft u deze opdracht uit:
ASA-AIP-CLI(config)#sysopt connection permit-ipsec
Opmerking: deze opdracht werkt op 7.x beelden voor 7.2(2). Als u afbeelding 7.2(2) gebruikt, geef dan de opdracht ASA-AIP-CLI(config)#sysopt Connection license-vpn uit.
Voer de volgende opdracht uit:
ASA-AIP-CLI(config)#group-policy hillvalleyvpn internal
Geef deze opdrachten uit om de instellingen voor de clientverbinding te configureren:
ASA-AIP-CLI (configuratie)#groep-beleid hillvalleyvpn-kenmerken
ASA-AIP-CLI (configuratie)# (configuratie-groep-beleid)#dns-serverwaarde 172.16.1.11
ASA 5500-AIP-CLI (configuratie)# (configuratie-groep-beleid)#vpn-tunnel-protocol-IPSec
ASA-AIP-CLI (configuratie)#(configuratie-groep-beleid)#standaard-domein waarde test.com
Voer de volgende opdracht uit:
ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn ipsec-ra
Voer de volgende opdracht uit:
ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn ipsec-attributes
Voer de volgende opdracht uit:
ASA-AIP-CLI(config-tunnel-ipsec)#pre-shared-key cisco123
Voer de volgende opdracht uit:
ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn general-attributes
Geef deze opdracht uit om de lokale gebruikersdatabase voor verificatie te doorverwijzen.
ASA-AIP-CLI(config-tunnel-general)#authentication-server-group LOCAL
Koppel het groepsbeleid aan de tunnelgroep
ASA-AIP-CLI(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
Geef deze opdracht uit terwijl in de algemene attributen-modus van de hillvalleyvpn-tunnelgroep om de in stap 1 gecreëerde vpnpool toe te wijzen aan de hillvalleyvpn-groep.
ASA-AIP-CLI(config-tunnel-general)#address-pool vpnpool
Config op het ASA-apparaat uitvoeren |
---|
ASA-AIP-CLI(config)#show running-config ASA Version 7.2(2) ! hostname ASAwAIP-CLI domain-name corp.com enable password WwXYvtKrnjXqGbu1 encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 10.10.10.2 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name corp.com pager lines 24 mtu outside 1500 mtu inside 1500 ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute group-policy hillvalleyvpn1 internal group-policy hillvalleyvpn1 attributes dns-server value 172.16.1.11 vpn-tunnel-protocol IPSec default-domain value test.com username marty password 6XmYwQOO9tiYnUDN encrypted no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000 crypto map outside_map 10 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp nat-traversal 20 tunnel-group hillvalleyvpn type ipsec-ra tunnel-group hillvalleyvpn general-attributes address-pool vpnpool default-group-policy hillvalleyvpn tunnel-group hillvalleyvpn ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:0f78ee7ef3c196a683ae7a4804ce1192 : end ASA-AIP-CLI(config)# |
Als u talloze Cisco VPN-clients hebt, is het heel moeilijk om alle VPN-clientgebruikersnamen en wachtwoorden te onthouden. Als u de wachtwoorden in de VPN-clientmachine wilt opslaan, configureert u de ASA/PIX en de VPN-client zoals in deze sectie wordt beschreven.
ASA/PIX
Gebruik de opdracht attributen groepsbeleid in globale configuratiemodus:
group-policy VPNusers attributes password-storage enable
Cisco VPN-client
Bewerk het .pcf-bestand en wijzig deze parameters:
SaveUserPassword=1 UserPassword=
Typ in de tunnelgroepmodus deze opdracht om de uitgebreide verificatie, die standaard is ingeschakeld, op de PIX/ASA 7.x uit te schakelen:
asa(config)#tunnel-group client ipsec-attributes asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none
Nadat u de uitgebreide verificatie hebt uitgeschakeld, maken de VPN-clients geen pop-up van een gebruikersnaam/wachtwoord voor een verificatie (Xauth). Daarom vereist ASA/PIX niet de gebruikersnaam en wachtwoordconfiguratie om de VPN-clients te verifiëren.
Probeer met Cisco ASA verbinding te maken via de Cisco VPN-client om te verifiëren dat de ASA met succes is geconfigureerd.
Selecteer Verbindingsberichten > Nieuw.
Vul de details van uw nieuwe verbinding in.
Het veld Host moet het IP-adres of de hostnaam van de eerder geconfigureerde Cisco ASA bevatten. De informatie over groepsverificatie moet overeenkomen met de informatie die in stap 4 wordt gebruikt. Klik op Opslaan als u klaar bent.
Selecteer de nieuwe verbinding en klik op Verbinden.
Voer een gebruikersnaam en wachtwoord in voor uitgebreide verificatie. Deze informatie moet overeenkomen met de informatie die in stap 5 en 6 is opgegeven.
Zodra de verbinding met succes tot stand is gebracht, selecteert u Statistieken in het menu Status om de details van de tunnel te verifiëren.
Dit venster toont verkeers- en cryptoinformatie:
Dit venster toont gesplitste tunnelinformatie:
Deze sectie bevat informatie om uw configuratie te troubleshooten.
Het is bekend dat ASDM 5.0(2) een crypto-toegangscontrolelijst (ACL) maakt en toepast die problemen kan veroorzaken voor VPN-clients die gesplitste tunneling gebruiken, en voor hardwareclients in netwerkuitbreidingsmodus. Gebruik ASDM versie 5.0(4.3) of hoger om dit probleem te voorkomen. Raadpleeg Cisco bug-id CSC10806 (alleen geregistreerde klanten) voor meer informatie.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
17-Jan-2006 |
Eerste vrijgave |