ASA 7.2(2): SSL VPN-client (SVC) voor openbaar internet VPN op een Stick Configuration-voorbeeld

Downloadopties

PDF (659.0 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (575.7 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (1.3 MB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:2 oktober 2009

Document-id:100894

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Achtergrondinformatie

Configureren

Netwerkdiagram

ASA 7.2(2) configuraties met ASDM 5.2(2)

ASA 7.2(2) CLI-configuratie

De SSL VPN-verbinding tot stand brengen met SVC

Verifiëren

Problemen oplossen

Gerelateerde informatie

Inleiding

Dit document beschrijft hoe u een adaptieve security applicatie (ASA) 7.2.2 kunt instellen om SSL VPN op een stok uit te voeren. Deze instelling is van toepassing op een specifiek geval waarin de ASA gesplitste tunneling niet toestaat en gebruikers rechtstreeks verbinding maken met de ASA voordat ze naar internet mogen gaan.

Opmerking: in ASA versie 7.2.2 is de Het intra-interface sleutelwoord van de de configuratiewijze van de zelfde-veiligheid-verkeersvergunning bevel staat al verkeer toe om de zelfde interface (niet alleen IPsec verkeer) in te gaan en te verlaten.

Voorwaarden

Vereisten

Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

De hub ASA security applicatie moet versie 7.2.2 gebruiken
Cisco SSL VPN-client (SVC) 1.x

Opmerking: Download het SSL VPN-clientpakket (slclient-win*.pkg) van Cisco Software Download (alleen geregistreerde klanten). Kopieer de SVC naar het flitsgeheugen op de ASA. SVC moet worden gedownload naar de externe gebruikerscomputers om de SSL VPN-verbinding met de ASA tot stand te brengen. Raadpleeg het gedeelte SVC-software installeren van de configuratiehandleiding voor Cisco Security Appliance Command Line, versie 7.2 voor meer informatie.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco 5500 Series adaptieve security applicatie (ASA) die softwareversie 7.2(2) uitvoert
Cisco SSL VPN-clientversie voor Windows 1.1.4.179
PC waarop Windows 2000 Professional of Windows XP wordt uitgevoerd
Cisco Adaptive Security Device Manager (ASDM), versie 5.2(2)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

De SSL VPN Client (SVC) is een VPN-tunneltechnologie die externe gebruikers de voordelen van een IPSec VPN-client biedt zonder dat netwerkbeheerders IPSec VPN-clients op externe computers moeten installeren en configureren. SVC gebruikt de SSL-codering die al op de externe computer aanwezig is, alsook de WebVPN-aanmelding en verificatie van het security apparaat.

Om een SVC-sessie op te zetten, voert de externe gebruiker het IP-adres in van een WebVPN-interface van het beveiligingsapparaat in de browser, en de browser maakt verbinding met die interface en geeft het inlogscherm van WebVPN weer. Als de gebruiker voldoet aan de login en authenticatie, en het security apparaat de gebruiker identificeert als het vereisen van de SVC, het security apparaat downloadt de SVC naar de externe computer. Als het beveiligingsapparaat aangeeft dat de gebruiker de optie heeft om de SVC te gebruiken, downloadt het beveiligingsapparaat de SVC naar de externe computer terwijl het een link weergeeft op het gebruikersscherm om de SVC-installatie over te slaan.

Na het downloaden installeert en configureert de SVC zichzelf, en vervolgens blijft de SVC of verwijdert zichzelf (afhankelijk van de configuratie) van de computer op afstand wanneer de verbinding wordt beëindigd.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Dit zijn RFC 1918 adressen die in een laboratoriumomgeving zijn gebruikt.

ASA 7.2(2) configuraties met ASDM 5.2(2)

Dit document gaat ervan uit dat de basisconfiguraties, zoals interfaceconfiguratie, al gemaakt zijn en correct werken.

Opmerking: zie Toegang tot HTTPS voor ASDM toestaan om de ASA te kunnen configureren door de ASDM.

Opmerking: WebVPN en ASDM kunnen niet op dezelfde ASA-interface worden ingeschakeld, tenzij u de poortnummers wijzigt. Raadpleeg ASDM en Web VPN Enabled op dezelfde interface van ASA voor meer informatie.

Voltooi deze stappen om SSL VPN op een stok in ASA te configureren:

Kies Configuratie > Interfaces, en controleer het Enable verkeer tussen twee of meer gastheren die aan de zelfde doos van de interfacecontrole worden aangesloten om SSL VPN verkeer toe te staan om de zelfde interface in te gaan en te verlaten.
Klik op Apply (Toepassen).

Opmerking: hier is de equivalente CLI-configuratieopdracht:
Cisco ASA 7.2(2)
ciscoasa(config)#same-security-traffic permit intra-interface
Kies Configuratie > VPN > IP-adresbeheer > IP-pools > Toevoegen om een IP-adrespool met de naam vpnpool te maken.
Klik op Apply (Toepassen).

Opmerking: hier is de equivalente CLI-configuratieopdracht:
Cisco ASA 7.2(2)
ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254

Cisco ASA 7.2(2)
ciscoasa(config)#same-security-traffic permit intra-interface

Cisco ASA 7.2(2)
ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254

WebVPN inschakelen:

Kies Configuratie > VPN > WebVPN > WebVPN Access, en selecteer de buiteninterface.
Klik op Inschakelen.
Schakel het aanvinkvakje Tunnelgroep inschakelen in op de WebVPN-inlogpagina om gebruikers in staat te stellen hun respectievelijke groepen te kiezen op de inlogpagina.
Klik op Apply (Toepassen).
Kies Configuratie > VPN > WebVPN > SSL VPN-client > Toevoegen om de SSL VPN-clientafbeelding uit het flitsgeheugen van ASA toe te voegen.
Klik op OK.
Klik op OK.
Klik op het aanvinkvakje SSL VPN Client.

Opmerking: hier zijn de equivalente opdrachten voor de CLI-configuratie:

Cisco ASA 7.2(2)
ciscoasa(config)#webvpn ciscoasa(config-webvpn)#enable outside ciscoasa(config-webvpn)#svc image disk0:/sslclient-win-1.1.4.179.pkg 1 ciscoasa(config-webvpn)#tunnel-group-list enable ciscoasa(config-webvpn)#svc enable

Cisco ASA 7.2(2)

ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#enable outside
ciscoasa(config-webvpn)#svc image disk0:/sslclient-win-1.1.4.179.pkg 1
ciscoasa(config-webvpn)#tunnel-group-list enable
ciscoasa(config-webvpn)#svc enable

Configureer het groepsbeleid:

Kies Configuratie > VPN > Algemeen > Groepsbeleid > Toevoegen (Intern groepsbeleid) om een intern groepsbeleid te maken met de naam clientgroep.
Klik op het tabblad Algemeen en selecteer het aankruisvakje WebVPN om WebVPN als tunnelprotocol in te schakelen.
Klik op het tabblad Clientconfiguratie en klik vervolgens op het tabblad Algemene clientparameters.
Kies Tunnel Alle netwerken uit de vervolgkeuzelijst Split Tunnel Policy om alle pakketten te laten reizen van de externe pc via een beveiligde tunnel.
Klik op het tabblad WebVPN > SLVPN-client en kies deze opties:
1. Voor de optie SSL VPN-client gebruiken, deselecteert u het aanvinkvakje Inherit en klikt u op het keuzerondje Optioneel.
  
  Met deze optie kan de externe client kiezen of de SVC moet worden gedownload of niet. De Altijd keuze zorgt ervoor dat de SVC wordt gedownload naar het externe werkstation tijdens elke SSL VPN verbinding.
2. Voor de optie Installateur op clientsysteem behouden, deselecteert u het aanvinkvakje Inherit en klikt u op de knop Ja
  
  Met deze optie kan de SVC-software op de clientmachine blijven. Daarom hoeft de ASA de SVC-software niet telkens wanneer een verbinding wordt gemaakt naar de client te downloaden. Deze optie is een goede keuze voor externe gebruikers die vaak toegang hebben tot het bedrijfsnetwerk.
3. Voor de optie Heronderhandelingsinterval uitschakelt u het vakje Inherit uit, het selectievakje Onbeperkt en voert u het aantal minuten in totdat u opnieuw inschakelt.
  
  Opmerking: de beveiliging wordt verbeterd door limieten in te stellen aan de tijdsduur dat een toets geldig is.
4. Voor de optie Heronderhandelingsmethode deselecteert u het aanvinkvakje Inherit en klikt u op het keuzerondje SSL.
  
  Opmerking: bij heronderhandeling kan de huidige SSL-tunnel of een nieuwe tunnel worden gebruikt die specifiek voor heronderhandeling is gemaakt.
Uw SSL VPN-clientkenmerken moeten worden geconfigureerd zoals in deze afbeelding:
Klik op OK en klik vervolgens op Toepassen.

Opmerking: hier zijn de equivalente opdrachten voor de CLI-configuratie:

Cisco ASA 7.2(2)
ciscoasa(config)#group-policy clientgroup internal ciscoasa(config)#group-policyclientgroup attributes ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn ciscoasa(config-group-policy)#split-tunnel-policy tunnelall ciscoasa(config-group-policy)#webvpn ciscoasa(config-group-webvpn)#svc required ciscoasa(config-group-webvpn)#svc keep-installer installed ciscoasa(config-group-webvpn)#svc rekey time 30 ciscoasa(config-group-webvpn)#svc rekey method ssl

Cisco ASA 7.2(2)

ciscoasa(config)#group-policy clientgroup internal
ciscoasa(config)#group-policyclientgroup attributes
ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn
ciscoasa(config-group-policy)#split-tunnel-policy tunnelall
ciscoasa(config-group-policy)#webvpn
ciscoasa(config-group-webvpn)#svc required
ciscoasa(config-group-webvpn)#svc keep-installer installed
ciscoasa(config-group-webvpn)#svc rekey time 30
ciscoasa(config-group-webvpn)#svc rekey method ssl

Kies Configuratie > VPN > Algemeen > Gebruikers > Toevoegen om een nieuwe gebruikersaccount ssluser1 te maken.
Klik op OK en klik vervolgens op Toepassen.

Opmerking: hier is de equivalente CLI-opdracht:
Cisco ASA 7.2(2)
ciscoasa(config)#username ssluser1 password asdmASA@
Kies Configuratie > Eigenschappen > AAA-instelling > AAA-servergroepen > Bewerken.
Selecteer de standaardservergroep LOCAL en klik op Bewerken.
In het dialoogvenster Local Server Group bewerken klikt u op het aanvinkvakje Local User Lockout inschakelen en voert u 16 in het tekstvak Maximum aantal pogingen in.
Klik op OK.

Opmerking: hier is de equivalente CLI-opdracht:
Cisco ASA 7.2(2)
ciscoasa(config)#aaa local authentication attempts max-fail 16

Cisco ASA 7.2(2)
ciscoasa(config)#username ssluser1 password asdmASA@

Cisco ASA 7.2(2)
ciscoasa(config)#aaa local authentication attempts max-fail 16

Configureer de tunnelgroep:

Kies Configuratie > VPN > Algemeen > Tunnelgroep > Toevoegen (WebVPN-toegang) om een nieuwe tunnelgroep met de naam Sslgroup te maken.
Klik op het tabblad Algemeen en klik vervolgens op het tabblad Basis.
Kies clientgroep in de vervolgkeuzelijst Groepsbeleid.
Klik op het tabblad Toewijzing clientadres en klik vervolgens op Toevoegen om de beschikbare pool adressenpoolaan toe te wijzen.
Klik op het tabblad WebVPN en klik vervolgens op het tabblad Groepsaliassen en URL’s.
Typ de alias naam in het parametervak en klik op Toevoegen om deze toe te voegen aan de lijst met groepsnamen op de Login-pagina.
Klik op OK en klik vervolgens op Toepassen.

Opmerking: hier zijn de equivalente opdrachten voor de CLI-configuratie:

Cisco ASA 7.2(2)
ciscoasa(config)#tunnel-group sslgroup type webvpn ciscoasa(config)#tunnel-group sslgroup general-attributes ciscoasa(config-tunnel-general)#address-pool vpnpool ciscoasa(config-tunnel-general)#default-group-policy clientgroup ciscoasa(config-tunnel-general)#exit ciscoasa(config)#tunnel-group sslgroup webvpn-attributes ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

Cisco ASA 7.2(2)

ciscoasa(config)#tunnel-group sslgroup type webvpn
ciscoasa(config)#tunnel-group sslgroup general-attributes
ciscoasa(config-tunnel-general)#address-pool vpnpool
ciscoasa(config-tunnel-general)#default-group-policy clientgroup
ciscoasa(config-tunnel-general)#exit
ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

NAT configureren:

Kies Configuratie > NAT > Toevoegen > Dynamische NAT-regel toevoegen om het verkeer dat afkomstig is van het binnennetwerk te laten vertalen met behulp van het buitenste IP-adres 172.16.1.5.
Klik op OK.
Kies Configuratie > NAT > Toevoegen > Dynamische NAT-regel toevoegen om het verkeer dat van het buitennetwerk 192.168.10.0 komt te kunnen vertalen met behulp van het buitenste IP-adres 172.16.1.5.
Klik op OK.
Klik op Apply (Toepassen).

Opmerking: hier zijn de equivalente opdrachten voor de CLI-configuratie:

Cisco ASA 7.2(2)
ciscoasa(config)#global (outside) 1 172.16.1.5 ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0 ciscoasa(config)#nat (outside) 1 192.168.10.0 255.255.255.0

ASA 7.2(2) CLI-configuratie

Cisco ASA 7.2(2)
ciscoasa#show running-config : Saved : ASA Version 7.2(2) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif inside security-level 100 ip address 10.77.241.142 255.255.255.192 ! interface Ethernet0/1 nameif outside security-level 0 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive same-security-traffic permit intra-interface !--- Command that permits the SSL VPN traffic to enter !--- and exit the same interface. access-list 100 extended permit icmp any any pager lines 24 mtu inside 1500 mtu outside 1500 ip local pool vpnpool 192.168.10.1-192.168.10.254 !--- The address pool for the SSL VPN Clients. no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-522.bin no asdm history enable arp timeout 14400 global (outside) 1 172.16.1.5 !--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP. nat (inside) 1 0.0.0.0 0.0.0.0 !--- The NAT statement to define what to encrypt !--- (the addresses from vpn-pool). nat (outside) 1 192.168.10.0 255.255.255.0 access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.16.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:0 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02: timeout uauth 0:05:00 absolute group-policy clientgroup internal !--- Create an internal group policy "clientgroup." group-policy clientgroup attributes vpn-tunnel-protocol webvpn !--- Enable webvpn as tunneling protocol. split-tunnel-policy tunnelall !--- Encrypt all the traffic coming from the SSL VPN Clients. webvpn svc required !--- Activate the SVC under webvpn mode svc keep-installer installed !--- When the security appliance and the SVC perform a rekey, they renegotiate !--- the crypto keys and initialization vectors, increasing the security of !--- the connection. svc rekey time 30 --- Command that specifies the number of minutes from the start of the !--- session until the rekey takes place, from 1 to 10080 (1 week). svc rekey method ssl !--- Command that specifies that SSL renegotiation takes place during SVC rekey. username ssluser1 password ZRhW85jZqEaVd5P. encrypted !--- Create an user account "ssluser1." aaa local authentication attempts max-fail 16 !--- Enable the AAA local authentication. http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart tunnel-group sslgroup type webvpn !--- Create a tunnel group "sslgroup" with type as WebVPN. tunnel-group sslgroup general-attributes address-pool vpnpool !--- Associate the address pool vpnpool created. default-group-policy clientgroup !--- Associate the group policy "clientgroup" created. tunnel-group sslgroup webvpn-attributes group-alias sslgroup_users enable !--- Configure the group alias as sslgroup-users. telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global webvpn enable outside !--- Enable WebVPN on the outside interface. svc image disk0:/sslclient-win-1.1.4.179.pkg 1 !--- Assign an order to the SVC image. svc enable !--- Enable the security appliance to download SVC images to remote computers. tunnel-group-list enable !--- Enable the display of the tunnel-group list on the WebVPN Login page. prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end ciscoasa#

Cisco ASA 7.2(2)

ciscoasa#show running-config
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit intra-interface


!--- Command that permits the SSL VPN traffic to enter !--- and exit the same interface.


access-list 100 extended permit icmp any any
pager lines 24
mtu inside 1500
mtu outside 1500

ip local pool vpnpool 192.168.10.1-192.168.10.254


!--- The address pool for the SSL VPN Clients.


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP.


nat (inside) 1 0.0.0.0 0.0.0.0


!--- The NAT statement to define what to encrypt !--- (the addresses from vpn-pool).


nat (outside) 1 192.168.10.0 255.255.255.0

access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:0
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:
timeout uauth 0:05:00 absolute
group-policy clientgroup internal


!--- Create an internal group policy "clientgroup."


group-policy clientgroup attributes
 vpn-tunnel-protocol webvpn


!--- Enable webvpn as tunneling protocol.


 split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.


 webvpn
  svc required
  

!--- Activate the SVC under webvpn mode


svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, they renegotiate !--- the crypto keys and initialization vectors, increasing the security of !--- the connection.


svc rekey time 30


--- Command that specifies the number of minutes from the start of the !--- session until the rekey takes place, from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation takes place during SVC rekey. 


username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create an user account "ssluser1."


aaa local authentication attempts max-fail 16


!--- Enable the AAA local authentication.


http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
tunnel-group sslgroup type webvpn


!--- Create a tunnel group "sslgroup" with type as WebVPN.


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created.


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created.


tunnel-group sslgroup webvpn-attributes

 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users.


telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface.


 svc image disk0:/sslclient-win-1.1.4.179.pkg 1


!--- Assign an order to the SVC image.


 svc enable


!--- Enable the security appliance to download SVC images to remote computers.


 tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page.


prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa#

De SSL VPN-verbinding tot stand brengen met SVC

Voltooi deze stappen om een SSL VPN-verbinding met ASA tot stand te brengen.

Typ in het veld Adres van uw webbrowser het URL- of IP-adres voor de WebVPN-interface van de ASA.

Voorbeeld:
```
https://<IP address of the ASA WebVPN interface>
```
Voer uw gebruikersnaam en wachtwoord in en kies vervolgens uw betreffende groep in de vervolgkeuzelijst Groep.

Opmerking: de ActiveX-software moet op uw computer zijn geïnstalleerd voordat u de SSL VPN-client downloadt.

Dit dialoogvenster wordt weergegeven zodra de verbinding tot stand is gebracht:

Dit bericht verschijnt zodra de verbinding tot stand is gebracht:
Zodra de verbinding tot stand is gebracht, dubbelklikt u op het gele sleutelpictogram dat op de taakbalk van uw computer wordt weergegeven.

Het dialoogvenster Cisco Systems SSL VPN Client geeft informatie over de SSL-verbinding weer.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

toon webvpn svc—Hier worden de SVC-beelden weergegeven die in het ASA-flitsgeheugen zijn opgeslagen.

ciscoasa#show webvpn svc
1. disk0:/sslclient-win-1.1.4.179.pkg 1
  CISCO STC win2k+ 1.0.0
  1,1,4,179
  Fri 01/18/2008 15:19:49.43

1 SSL VPN Client(s) installed

toon vpn-sessiondb svc—Hier wordt de informatie over de huidige SSL-verbindingen weergegeven.

ciscoasa#show vpn-sessiondb svc

Session Type: SVC

Username     : ssluser1
Index        : 1
Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
Protocol     : SVC                    Encryption   : 3DES
Hashing      : SHA1
Bytes Tx     : 131813                 Bytes Rx     : 5082
Client Type  : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Client Ver   : Cisco Systems SSL VPN Client 1, 1, 4, 179
Group Policy : clientgroup
Tunnel Group : sslgroup
Login Time   : 12:38:47 UTC Mon Mar 17 2008
Duration     : 0h:00m:53s
Filter Name  :

toon webvpn groep-alias-Toont het geconfigureerde alias voor verschillende groepen.

ciscoasa#show webvpn group-alias
Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled

In ASDM kies Bewaking > VPN > VPN-statistieken > Sessies om informatie over de huidige WebVPN-sessies in de ASA te bekijken.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

vpn-sessiondb-afsluitnaam <gebruikersnaam>—Hiermee kunt u de SSL VPN-sessie afmelden voor de opgegeven gebruikersnaam.

ciscoasa#vpn-sessiondb logoff name ssluser1
Called vpn_remove_uauIth: success!
webvpn_svc_np_tear_down: no ACL
NFO: Number of sessions with name "ssluser1" logged off : 1

Op dezelfde manier kunt u de opdracht vpn-sessiondb logoff svc gebruiken om alle SVC-sessies te beëindigen.

Opmerking: als de pc overschakelt naar de stand-by- of slaapmodus, kan de SSL VPN-verbinding worden beëindigd.

webvpn_rx_data_cstp
webvpn_rx_data_cstp: got message
SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, etc)
Called vpn_remove_uauth: success!
webvpn_svc_np_tear_down: no ACL

ciscoasa#show vpn-sessiondb svc
INFO: There are presently no active sessions

Debug webvpn svc <1-25>—Biedt de real-time WebVPN-gebeurtenissen om de sessie te definiëren.

Ciscoasa#debug webvpn svc 7 

ATTR_CISCO_AV_PAIR: got SVC ACL: -1
webvpn_rx_data_tunnel_connect
CSTP state = HEADER_PROCESSING
http_parse_cstp_method()
...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
webvpn_cstp_parse_request_field()
...input: 'Host: 172.16.1.1'
Processing CSTP header line: 'Host: 172.16.1.1'
webvpn_cstp_parse_request_field()
...input: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4, 179'
Processing CSTP header line: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4,
179'
Setting user-agent to: 'Cisco Systems SSL VPN Client 1, 1, 4, 179'
webvpn_cstp_parse_request_field()
...input: 'X-CSTP-Version: 1'
Processing CSTP header line: 'X-CSTP-Version: 1'
Setting version to '1'
webvpn_cstp_parse_request_field()
...input: 'X-CSTP-Hostname: tacweb'
Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
Setting hostname to: 'tacweb'
webvpn_cstp_parse_request_field()
...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
webvpn_cstp_parse_request_field()
...input: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486
D5BC554D2'
Processing CSTP header line: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1
CF236DB5E8BE70B1486D5BC554D2'
Found WebVPN cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1
486D5BC554D2'
WebVPN Cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486D5B
C554D2'
Validating address: 0.0.0.0
CSTP state = WAIT_FOR_ADDRESS
webvpn_cstp_accept_address: 192.168.10.1/0.0.0.0
CSTP state = HAVE_ADDRESS
No subnetmask... must calculate it
SVC: NP setup
webvpn_svc_np_setup
SVC ACL Name: NULL
SVC ACL ID: -1
SVC ACL ID: -1
vpn_put_uauth success!
SVC: adding to sessmgmt
SVC: Sending response
CSTP state = CONNECTED

In ASDM, kies Bewaking > Vastlegging > Real-time Logviewer > Weergave om de real-time gebeurtenissen te bekijken. Deze voorbeelden tonen sessieinformatie tussen de SVC 192.168.10.1 en Webserver 10.2.2.2 in het internet via ASA 172.16.1.5.

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	19-Feb-2014	Eerste vrijgave

ASA 7.2(2): SSL VPN-client (SVC) voor openbaar internet VPN op een Stick Configuration-voorbeeld

Downloadopties

Inclusief taalgebruik

Over deze vertaling

Inhoud

Revisiegeschiedenis

Was dit document nuttig?

Contact Cisco

Dit document is van toepassing op deze producten