Configure AnyConnect Client Access to Local LAN (AnyConnect-clienttoegang tot lokaal LAN configureren)

Downloadopties

  • PDF     (1.6 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.6 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.3 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 augustus 2024
Document-id:70847

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u de Cisco AnyConnect Secure Mobility Client toegang geeft tot het lokale LAN, terwijl deze is verbonden met een Cisco ASA.

    Voorwaarden

    Vereisten

    Dit document gaat ervan uit dat er al een functionele VPN-configuratie voor externe toegang bestaat op de Cisco adaptieve security applicatie (ASA).

    Raadpleeg CLI Book 3: Cisco ASA Series VPN CLI Configuration Guide, 9.17 voor hulp bij configuratie indien nodig.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco ASA 5500 Series, versie 9(2)E1
    • Cisco Adaptive Security Device Manager (ASDM), versie 7.1(6)
    • Cisco AnyConnect Secure Mobility Client, versie 3.1.05152

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Netwerkdiagram

    De client bevindt zich in een SOHO-netwerk (klein kantoor/thuiskantoor) en maakt via het internet verbinding met het hoofdkantoor.

    Diagram of Typical Small Office/Home Office (SOHO) network

    Achtergrondinformatie

    Deze configuratie biedt Cisco AnyConnect Secure Mobility Client beveiligde toegang tot bedrijfsbronnen via IPsec, Secure Sockets Layer (SSL) of Internet Key Exchange Versie 2 (IKEv2) en geeft de client nog steeds de mogelijkheid om activiteiten uit te voeren zoals afdrukken op de locatie van de client. Waar toegestaan wordt verkeer naar het internet nog steeds naar de ASA getunneld.

    Als u lokale LAN-toegang inschakelt voor VPN-clients, kunnen deze clients – in tegenstelling tot een klassiek scenario van split-tunneling waarbij al het internetverkeer niet-versleuteld wordt verzonden – alleen niet-versleuteld communiceren met apparaten op het netwerk waar ze zich bevinden. Een client die thuis lokale LAN-toegang krijgt terwijl hij verbonden is met de ASA, kan bijvoorbeeld afdrukken naar zijn eigen printer, maar alleen toegang tot internet krijgen als de client eerst het verkeer via de tunnel verstuurt.

    Er wordt een toegangslijst gebruikt om lokale LAN-toegang toe te staan op veelal dezelfde manier als split-tunneling op de ASA wordt geconfigureerd. In tegenstelling tot het scenario gesplitste tunneling definieert deze toegangslijst echter niet welke netwerken moeten worden versleuteld. In plaats daarvan wordt bepaald welke netwerken niet mogen worden versleuteld. En in tegenstelling tot een klassiek scenario van split-tunneling hoeven de werkelijke netwerken in de lijst niet bekend te zijn. In plaats daarvan voorziet de ASA in het standaardnetwerk 0.0.0.0/255.255.255.255: het lokale LAN van de client.

    note-icon

    Opmerking: dit is geen configuratie voor gesplitste tunneling waarbij de client unencrypted toegang tot internet heeft terwijl hij verbonden is met de ASA. Raadpleeg het beleid voor splitter-tunneling in CLI Book 3: Cisco ASA Series VPN CLI Configuration Guide, 9.17 voor informatie over het configureren van gesplitste tunneling op de ASA.

    Opmerking: wanneer de client is verbonden en geconfigureerd voor lokale LAN-toegang, kunt u niet met naam op de lokale LAN afdrukken of bladeren. U kunt echter wel afdrukken of bladeren op IP-adres. Zie de sectie Troubleshooten in dit document voor meer informatie en voor tijdelijke oplossingen voor deze situatie.

    Lokale LAN-toegang configureren voor de AnyConnect Secure Mobility-client

    Voltooi deze taken om Cisco AnyConnect Secure Mobility Clients toegang te bieden tot hun lokale LAN tijdens de verbinding met de ASA:

    De ASA configureren via de ASDM

    Voer de volgende taken uit in de ASDM om VPN-clients lokale LAN-toegang te verlenen terwijl ze met de ASA zijn verbonden:

    1. Kies Configuration > Remote Access VPN > Network (Client) Access > Group Policy en selecteer het groepsbeleid waarin u lokale LAN-toegang wilt inschakelen. Klik vervolgens op Edit.

      Select the Group Policy in Which You want to Enable Local LAN access



    2. Ga naar Advanced > Split Tunneling.

      Under Advanced, Select Split Tunneling



    3. Schakel het Inherit vakje Policy uit en kies Exclude Network List Below.

      Uncheck the Inherit Box for Policy and Choose Exclude Network List Below



    4. Schakel het Inherit selectievakje Netwerklijst uit en klik vervolgens Manage om de ACL-beheerder (Toegangscontrolelijst) te starten.

      Uncheck the Inherit Box for Network List and Click Manage



    5. Kies Add > Add ACL... in ACL Manager om een nieuwe toegangslijst te maken.

      Choose Add and then Add ACL in Order to create a New Access List



    6. Typ een naam voor de ACL en klik op OKdeze.

      Enter a Name for the ACL and Click OK



    7. Nadat de ACL is gemaakt, kiest u Add > Add ACE... om een Access Control Entry (ACE) toe te voegen.

      Choose Add and then Add ACE in order to Add an Access Control Entry (ACE)



    8. Definieer de ACE die overeenkomt met het lokale LAN van de client.

      1. Kies Permit.
      2. Kies IP-adres 0.0.0.0.
      3. Kies netwerkmasker /32.
      4. (Optioneel) Geef een beschrijving.
      5. Klik op de knop .OK

        Define the ACE Parameters



    9. Klik om OK de ACL Manager af te sluiten.

      Click OK in Order to Exit the ACL Manager



    10. Controleer of de zojuist gemaakte ACL is geselecteerd voor de netwerklijst voor split-tunneling.

      Confirm that the ACL is Selected for the Split Tunnel Network List



    11. Klik OK om terug te keren naar de groepsbeleidsconfiguratie.

      Click OK in Order to Return to the Group Policy Configuration



    12. Klik Apply en vervolgens Send (indien nodig) om de opdrachten naar de ASA te sturen.

      Click Apply and then Send in Order to Send the Commands to the ASA

    De ASA configureren via de opdrachtregelinterface

    In plaats van de ASDM te gebruiken, kunt u deze stappen via de ASA-opdrachtregelinterface uitvoeren om VPN-clients lokale LAN-toegang te verlenen terwijl ze met de ASA zijn verbonden:

    1. Geef de configuratiemodus op.

      ciscoasa>enable
      Password:
      ciscoasa#configure terminal
      ciscoasa(config)#
    2. Maak de toegangslijst om lokale LAN-toegang te verlenen.

      ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
      ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
    3. Geef de configuratiemodus voor het groepsbeleid op voor het beleid dat u wilt wijzigen.

      ciscoasa(config)#group-policy hillvalleyvpn attributes
      ciscoasa(config-group-policy)#
    4. Geef het beleid voor split-tunneling op. In dit geval is het beleid excludespecified.

      ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
    5. Geef de toegangslijst voor split-tunneling op. In dit geval is de lijst Local_LAN_Access.

      ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
    6. Voer de volgende opdracht uit:

      ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
    7. Koppel het groepsbeleid aan de tunnelgroep.

      ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
    8. Sluit de twee configuratiemodi af.

      ciscoasa(config-group-policy)#exit
      ciscoasa(config)#exit
      ciscoasa#
    9. Sla de configuratie op in niet-vluchtig RAM (NVRAM) en druk op Enter wanneer u wordt gevraagd om de bronbestandsnaam te specificeren.

      ciscoasa#copy running-config startup-config

      Source filename [running-config]?
      Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a

      3847 bytes copied in 3.470 secs (1282 bytes/sec)
      ciscoasa#

    De Cisco AnyConnect Secure Mobility Client configureren

    Raadpleeg het gedeelte AnyConnect Connections van CLI Book 3: Cisco ASA Series VPN CLI Configuration Guide, 9.17 voor het configureren van de Cisco AnyConnect Secure Mobility Client.

    Voor het tunnelen met splitsen/uitsluiten moet u AllowLocalLanAccess de AnyConnect-client inschakelen. Split Exclude-tunneling wordt beschouwd als lokale LAN-toegang. Als u de uitsluitingsfunctie van split-tunneling wilt gebruiken, moet u de AllowLocalLanAccess voorkeur in de AnyConnect VPN-clientvoorkeuren inschakelen. Standaard is lokale LAN-toegang uitgeschakeld.

    Om lokale LAN-toegang toe te staan, en daarmee Split Exclude-tunneling, moet een netwerkbeheerder dit inschakelen in het profiel. Gebruikers kunnen dit ook inschakelen via hun voorkeursinstellingen (zie afbeelding in volgende sectie). Om lokale LAN-toegang toe te staan, selecteert een gebruiker het Allow Local LAN access aankruisvakje als split-tunneling is ingeschakeld op de beveiligde gateway en met het split-tunnel-policy exclude specified beleid is geconfigureerd. Daarnaast kunt u het VPN-clientprofiel configureren als lokale LAN-toegang is toegestaan bij true .

    Gebruikersvoorkeuren

    Hier zijn de selecties die u moet maken in het tabblad Voorkeuren op de Cisco AnyConnect Secure Mobility Client om lokale LAN-toegang te verlenen.

    Required Selections on the AnyConnect Secure Mobility Client Preferences Tab

    Op Linux 

    AnyConnect Preferences for Linux

    Voorbeeld van XML-profiel

    Hierna volgt een configuratievoorbeeld van het VPN-clientprofiel met XML.

    <?xml version="1.0" encoding="UTF-8"?>
    <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
     xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
        <ClientInitialization>
            <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
            <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
            <ShowPreConnectMessage>false</ShowPreConnectMessage>
            <CertificateStore>All</CertificateStore>
            <CertificateStoreOverride>false</CertificateStoreOverride>
            <ProxySettings>Native</ProxySettings>
            <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
            <AuthenticationTimeout>12</AuthenticationTimeout>
            <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
            <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
            <LocalLanAccess UserControllable="true">true</LocalLanAccess>
            <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
            <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
            <AutoReconnect UserControllable="false">true
                <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
                </AutoReconnectBehavior>
            </AutoReconnect>
            <AutoUpdate UserControllable="false">true</AutoUpdate>
            <RSASecurIDIntegration UserControllable="false">Automatic
            </RSASecurIDIntegration>
            <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
            <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
            <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
            <PPPExclusion UserControllable="false">Disable
                <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
            </PPPExclusion>
            <EnableScripting UserControllable="false">false</EnableScripting>
            <EnableAutomaticServerSelection UserControllable="false">false
                <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
                <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
            </EnableAutomaticServerSelection>
            <RetainVpnOnLogoff>false
            </RetainVpnOnLogoff>
        </ClientInitialization>
    </AnyConnectProfile>

    Verifiëren

    Volg de stappen in deze secties om de configuratie te verifiëren:

    Verbind uw Cisco AnyConnect Secure Mobility Client met de ASA om uw configuratie te verifiëren.

    1. Kies uw verbindingsitem in de serverlijst en klik op Connect.

      Choose Connection Entry from the Server List



    2. Kies Advanced Window for All Components > Statistics... om de tunnelmodus weer te geven.

      Choose the Statistics Tab in Order to Display the Tunnel Mode




      Op Linux


      Statistics Tab on Linux





    3. Klik op het Route Details tabblad om de routes te zien waartoe de Cisco AnyConnect Secure Mobility Client nog steeds lokaal toegang heeft.

      In dit voorbeeld heeft de client lokale LAN-toegang tot 10.150.52.0/22 en 169.254.0.0/16, terwijl al het andere verkeer wordt versleuteld en via de tunnel wordt verzonden.

      Example of Route Details Tab

    Op Linux 

    Example of Route Details Tab on Linux

    Cisco AnyConnect Secure Mobility Client

    Wanneer u de AnyConnect-logboeken van de DART-bundel (Diagnostics en Reporting Tool) raadpleegt, kunt u nagaan of de parameter die lokale LAN-toegang mogelijk maakt al dan niet is ingesteld.

    ******************************************

    Date        : 11/25/2011
    Time        : 13:01:48
    Type        : Information
    Source      : acvpndownloader

    Description : Current Preference Settings:
    ServiceDisable: false
    CertificateStoreOverride: false
    CertificateStore: All
    ShowPreConnectMessage: false
    AutoConnectOnStart: false
    MinimizeOnConnect: true
    LocalLanAccess: true
    AutoReconnect: true
    AutoReconnectBehavior: DisconnectOnSuspend
    UseStartBeforeLogon: false
    AutoUpdate: true
    RSASecurIDIntegration: Automatic
    WindowsLogonEnforcement: SingleLocalLogon
    WindowsVPNEstablishment: LocalUsersOnly
    ProxySettings: Native
    AllowLocalProxyConnections: true
    PPPExclusion: Disable
    PPPExclusionServerIP: 
    AutomaticVPNPolicy: false
    TrustedNetworkPolicy: Disconnect
    UntrustedNetworkPolicy: Connect
    TrustedDNSDomains: 
    TrustedDNSServers: 
    AlwaysOn: false
    ConnectFailurePolicy: Closed
    AllowCaptivePortalRemediation: false
    CaptivePortalRemediationTimeout: 5
    ApplyLastVPNLocalResourceRules: false
    AllowVPNDisconnect: true
    EnableScripting: false
    TerminateScriptOnNextEvent: false
    EnablePostSBLOnConnectScript: true
    AutomaticCertSelection: true
    RetainVpnOnLogoff: false
    UserEnforcement: SameUserOnly
    EnableAutomaticServerSelection: false
    AutoServerSelectionImprovement: 20
    AutoServerSelectionSuspendTime: 4
    AuthenticationTimeout: 12
    SafeWordSofTokenIntegration: false
    AllowIPsecOverSSL: false
    ClearSmartcardPin: true



    ******************************************

    Lokale LAN-toegang testen met ping

    ping Een extra manier om te testen of de VPN-client nog steeds lokale LAN-toegang heeft terwijl er een tunnel wordt gegraven naar de VPN-head-end is om de opdracht te gebruiken via de Microsoft Windows-opdrachtregel. Hierna volgt een voorbeeld waarin het lokale LAN van de client 192.168.0.0/24 is en een andere host aanwezig is op het netwerk met IP-adres 192.168.0.3.

    C:\>ping 192.168.0.3
    Pinging 192.168.0.3 with 32 bytes of data&colon;

    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

    Ping statistics for 192.168.0.3:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms

    Op Linux 

    Ping Results on Linux

    Problemen oplossen

    Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

    Kan niet afdrukken of bladeren op naam

    Wanneer de VPN-client is verbonden en geconfigureerd voor lokale LAN-toegang, kunt u niet afdrukken of bladeren op naam op het lokale LAN. Er zijn twee opties om deze situatie te omzeilen:

    • Bladeren of afdrukken op IP-adres.

      • Als u wilt bladeren, in plaats van de syntaxis \\sharename, gebruikt u de syntaxis \\x.x.x.x waar x.x.x.x.x het IP-adres van de hostcomputer is.

      • Afdrukken: wijzig de eigenschappen van de netwerkprinter om een IP-adres in plaats van een naam te gebruiken. Bijvoorbeeld, in plaats van de syntaxis, \\sharename\printernamegebruik \\x.x.x.x\printername, waar x.x.x.x een IP adres is.

    • Maak of wijzig het LMHOSTS-bestand van de VPN-client. Met een LMHOSTS-bestand op een Microsoft Windows-computer kunt u statische toewijzingen maken tussen hostnamen en IP-adressen. Een LMHOSTS-bestand kan er bijvoorbeeld zo uitzien:

      192.168.0.3 SERVER1
192.168.0.4 SERVER2
192.168.0.5 SERVER3

      In Microsoft Windows XP Professional Edition staat het LMHOSTS-bestand in %SystemRoot%\System32\Drivers\Etc. Raadpleeg uw Microsoft-documentatie voor meer informatie.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    4.0
    23-Aug-2024
    Verduidelijkt CCW-bericht was vals positief en gecorrigeerd onnodig vet formatteren.
    3.0
    21-Aug-2023
    Bijgewerkte Inleiding, PII, Stijlvereisten, Alt-tekst en opmaak.
    2.0
    13-Jul-2022
    Bijgewerkte titel. Bijgewerkte links en verwijderde verbroken links. Kleine bewerkingen voor de duidelijkheid.
    1.0
    28-Jul-2006
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Atri Basu
      Cisco TAC Engineer
    • Gustavo Medina
      Cisco TAC Engineer
    • Everett Duke
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten