Exemplo de Configuração de PIX/ASA e VPN Client para VPN de Internet Pública em um Stick

Introdução

Este documento descreve como configurar um ASA Security Appliance 7.2 ou posterior para executar IPsec em um bastão. Esta instalação se aplica a um caso específico onde o ASA não permite o tunelamento dividido e os usuários se conectam diretamente ao ASA antes de receberem permissão para acessar a Internet.

Observação: no PIX/ASA versão 7.2 e posterior, o comando intra-interface permite que todo o tráfego entre e saia da mesma interface, e não apenas o tráfego IPsec.

Consulte Exemplo de Configuração de Roteador e Cliente VPN para Internet Pública em um Stick para concluir uma configuração semelhante em um roteador de site central.

Consulte PIX/ASA 7.x Enhanced Spoke-to-Client VPN with TACACS+ Authentication Configuration Example para saber mais sobre o cenário em que o PIX do hub redireciona o tráfego do VPN Client para o PIX do spoke.

Observação: para evitar uma sobreposição de endereços IP na rede, atribua um pool completamente diferente de endereços IP ao VPN Client (por exemplo, 10.x.x.x , 172.16.x.x e 192.168.x.x). Esse esquema de endereçamento IP é útil para solucionar problemas da sua rede.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• O PIX/ASA Security Appliance do hub precisa executar a versão 7.2 ou posterior

• Cisco VPN Client versão 5.x

Componentes Utilizados

As informações neste documento são baseadas no PIX ou ASA Security Appliance versão 8.0.2 e no Cisco VPN Client versão 5.0.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Essa configuração também pode ser usada com o Cisco PIX Security Appliance versão 7.2 e posterior.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Hairpinning ou Inversão de Sentido

Esta característica é útil para o tráfego VPN que incorpora uma relação mas é então roteado fora dessa mesma relação. Por exemplo, se você tiver uma rede VPN hub-and-spoke, em que o dispositivo de segurança é o hub e as redes VPN remotas são spokes, para que um spoke se comunique com outro spoke, o tráfego deve ir para o dispositivo de segurança e, em seguida, sair novamente para o outro spoke.

Use o comando same-security-traffic para permitir que o tráfego entre e saia da mesma interface.

securityappliance(config)#
same-security-traffic permit intra-interface

Observação: Hairpinning ou Inversão de Sentido se aplica à comunicação de Cliente VPN para Cliente VPN, também.

Configurações

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Configuração CLI de PIX/ASA

• PIX/ASA

PIX Version 8.0(2)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 172.16.3.101 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
ftp mode passive

!--- Command that permits IPsec traffic to enter and exit the same interface.

same-security-traffic permit intra-interface
access-list 100 extended permit icmp any any echo-reply
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500

ip local pool vpnpool 
   192.168.10.1-192.168.10.254 mask 255.255.255.0

no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control
!--- The address pool for the VPN Clients.



!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP. 

global (outside) 1 172.18.124.166


!--- The NAT statement to define what to encrypt (the addresses from the vpn-pool).
 

nat (outside) 1 192.168.10.0 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.3.102 172.16.3.102 
   netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.124.98 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- The configuration of group-policy for VPN Clients.


group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20


!--- Forces VPN Clients over the tunnel for Internet access.


split-tunnel-policy tunnelall


no snmp-server location
no snmp-server contact
snmp-server enable traps snmp


!--- Configuration of IPsec Phase 2.


crypto ipsec transform-set myset esp-3des esp-sha-hmac


!--- Crypto map configuration for VPN Clients that connect to this PIX.


crypto dynamic-map rtpdynmap 20 set transform-set myset


!--- Binds the dynamic map to the crypto map process.


crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


!--- Crypto map applied to the outside interface.


crypto map mymap interface outside


!--- Enable ISAKMP on the outside interface.


isakmp identity address
isakmp enable outside


!--- Configuration of ISAKMP policy.


isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Configuration of tunnel-group with group information for VPN Clients.


tunnel-group rtptacvpn type ipsec-ra


!--- Configuration of group parameters for the VPN Clients.


tunnel-group rtptacvpn general-attributes
address-pool vpnpool


!--- Disable user authentication.


authentication-server-group none



!--- Bind group-policy parameters to the tunnel-group for VPN Clients.


default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
 inspect dns maximum-length 512
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect netbios
 inspect rsh
 inspect rtsp
 inspect skinny
 inspect esmtp
 inspect sqlnet
 inspect sunrpc
 inspect tftp
 inspect sip
 inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0
: end

Configurar o ASA/PIX com ASDM

Conclua estas etapas para configurar o Cisco ASA como um servidor VPN remoto com o ASDM:

1. Escolha Wizards > IPsec VPN Wizard na janela Home.

   

2. Escolha o tipo de túnel VPN de acesso remoto e verifique se a interface de túnel VPN está definida como desejado.

   

3. O único tipo de cliente VPN disponível já foi escolhido. Clique em Next.

   

4. Digite um nome para o nome do grupo de túneis. Forneça as informações de autenticação a serem usadas.

   Pre-shared Key é escolhida neste exemplo.

   

   Observação: Não há uma maneira de ocultar/criptografar a chave pré-compartilhada no ASDM. O motivo é que o ASDM deve ser usado somente por pessoas que configuram o ASA ou por pessoas que ajudam o cliente com essa configuração.

5. Escolha se você deseja que os usuários remotos sejam autenticados no banco de dados de usuário local ou em um grupo de servidores AAA externo.

   Observação: Você adiciona usuários ao banco de dados de usuários locais na etapa 6.

   Observação: consulte PIX/ASA 7.x Authentication and Authorization Server Groups for VPN Users via ASDM Configuration Example para obter informações sobre como configurar um grupo de servidor AAA externo através do ASDM.

   

6. Adicione usuários ao banco de dados local, se necessário.

   Observação: Não remova os usuários atuais desta janela. Escolha Configuration > Device Administration > Administration > User Accounts na janela principal do ASDM para editar entradas existentes no banco de dados ou para removê-las do banco de dados.

   

7. Defina um pool de endereços locais a serem atribuídos dinamicamente a Clientes VPN remotos quando eles se conectarem.

   

8. Opcional: Especifique as informações de servidor DNS e WINS e um nome de domínio padrão a ser enviado para clientes VPN remotos.

   

9. Especifique os parâmetros para IKE, também conhecido como Fase 1 do IKE.

   As configurações em ambos os lados do túnel devem corresponder exatamente, mas o Cisco VPN Client escolhe automaticamente a configuração apropriada para ele mesmo. Nenhuma configuração de IKE é necessária no PC cliente.

   

10. Especifique os parâmetros para IPSec, também conhecido como Fase 2 do IKE.

    As configurações em ambos os lados do túnel devem corresponder exatamente, mas o Cisco VPN Client escolhe automaticamente a configuração apropriada para ele mesmo. Nenhuma configuração de IKE é necessária no PC cliente.

    

11. Especifique quais hosts internos ou redes, se houver, podem ser expostos a usuários remotos de VPN.

    Se você deixar essa lista vazia, ela permitirá que os usuários remotos de VPN acessem toda a rede interna do ASA.

    Você também pode ativar o tunelamento dividido nessa janela. O tunelamento dividido criptografa o tráfego para os recursos definidos anteriormente neste procedimento e fornece acesso não criptografado à Internet em geral, não encapsulando esse tráfego. Se o tunelamento dividido não estiver habilitado, todo o tráfego dos usuários remotos da VPN será tunelado para o ASA. Com base na sua configuração, isso pode consumir muita largura de banda e processamento.

    

12. Essa janela mostra um resumo das ações que você realizou. Clique em Finish se estiver satisfeito com a configuração.

    

13. Configure o comando same-security-traffic para habilitar o tráfego entre dois ou mais hosts conectados à mesma interface ao clicar na caixa de seleção como mostrado:

    

14. Selecione Configuration > Firewall > NAT Rules e clique em Add Dynamic NAT Rule para criar essa conversão dinâmica com o uso do ASDM.

    

15. Escolha Inside como a interface de origem e insira os endereços que deseja traduzir com o NAT. Para Translate Address on Interface, escolha outside e clique em OK.

    

16. Escolha outside como a interface de origem e insira os endereços que você deseja usar como NAT. Para Translate Address on Interface, escolha outside e clique em OK.

    

17. A conversão é exibida nas regras de conversão em Configuration > Firewall >NAT Rules.

    

Nota 1: O comando sysopt connection permit-vpn precisa ser configurado. O comando show running-config sysopt verifica se ele está configurado.

Nota 2: Adicione esta saída para o transporte UDP opcional:

group-policy clientgroup attributes
vpn-idle-timeout 20

ipsec-udp enable
ipsec-udp-port 10000

split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel

Nota 3: Configure este comando na configuração global do dispositivo PIX para que os VPN Clients se conectem via IPsec sobre TCP:

isakmp ipsec-over-tcp port 10000

Observação: consulte o vídeo Hair-Pinning no Cisco ASA para obter mais informações sobre diferentes cenários em que o hair-pinning pode ser usado.

Configuração de cliente de VPN

Conclua estas etapas para configurar o VPN Client:

1. Escolha New.

   

2. Insira o endereço IP da interface externa do PIX e o nome do grupo de túneis junto com a senha para autenticação.

   

3. (Opcional) Clique em Enable Transparent Tunneling na guia Transport. (Isso é opcional e requer a configuração adicional do PIX/ASA mencionada na nota 2.)

   

4. Salve o perfil.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

• show crypto isakmp sa — Exibe todas as associações de segurança atuais (SAs) de IKE em um peer.

• show crypto ipsec sa — Exibe todas as SAs atuais. Procure pacotes criptografados e descriptografados no SA que define o tráfego do VPN Client.

Tente fazer ping ou procurar um endereço IP público do cliente (por exemplo, www.cisco.com).

Observação: não é possível fazer ping na interface interna do PIX para a formação de um túnel, a menos que o comando management-access esteja configurado no modo de configuração global.

PIX1(config)#management-access inside
PIX1(config)#
show management-access

management-access inside

Verificação de cliente VPN

Conclua estes passos para verificar o VPN Client.

1. Clique com o botão direito do mouse no ícone de cadeado do VPN Client presente na bandeja do sistema após uma conexão bem-sucedida e escolha a opção de estatísticas para visualizar criptografias e descriptografias.

2. Clique na guia Route Details (Detalhes da rota) para verificar se a lista de túneis divididos não foi passada do equipamento.

Troubleshooting

Observação: Para obter mais informações sobre como solucionar problemas de VPN, consulte Soluções de Problemas de VPN.

Informações Relacionadas

• Exemplo de Configuração Avançada de VPN Spoke-to-Client para PIX Security Appliance Versão 7.0
• Cisco VPN Client
• Negociação IPsec/Protocolos IKE
• Cisco PIX Firewall Software
• Referências do comando Cisco Secure PIX Firewall
• Avisos de campo de produto de segurança (incluindo PIX)
• Hair-Pinning no Cisco ASA
• Solicitações de Comentários (RFCs)
• Suporte Técnico e Documentação - Cisco Systems