ASA 7.2(2): Exemplo de Configuração de Cliente VPN SSL (SVC) para VPN de Internet Pública em um Stick

Introdução

Este documento descreve como configurar um Adaptive Security Appliance (ASA) 7.2.2 para executar SSL VPN em um bastão. Essa configuração se aplica a um caso específico em que o ASA não permite o tunelamento dividido e os usuários se conectam diretamente ao ASA antes de terem permissão para acessar a Internet.

Observação: no ASA versão 7.2.2, o palavra-chave intrainterface do comando do modo de configuração same-security-traffic permit permite que todo o tráfego entre e saia da mesma interface (não apenas o tráfego IPsec).

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• O ASA Security Appliance do hub precisa executar a versão 7.2.2

• Cisco SSL VPN Client (SVC) 1.x

  Observação: faça o download do pacote do SSL VPN Client (sslclient-win*.pkg) em Cisco Software Download (somente clientes registrados) . Copie o SVC para a memória flash no ASA. O SVC deve ser baixado para os computadores do usuário remoto para estabelecer a conexão VPN SSL com o ASA. Consulte a seção Instalação do Software SVC do Guia de Configuração de Linha de Comando do Cisco Security Appliance Versão 7.2 para obter mais informações.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco 5500 Series Adaptive Security Appliance (ASA) com software versão 7.2(2)

• Cisco SSL VPN Client versão para Windows 1.1.4.179

• PC com Windows 2000 Professional ou Windows XP

• Cisco Adaptive Security Device Manager (ASDM) versão 5.2(2)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O SSL VPN Client (SVC) é uma tecnologia de tunelamento VPN que fornece aos usuários remotos os benefícios de um cliente VPN IPSec sem a necessidade de administradores de rede instalarem e configurarem clientes VPN IPSec em computadores remotos. O SVC usa a criptografia SSL que já está presente no computador remoto, bem como o logon e a autenticação WebVPN do Security Appliance.

Para estabelecer uma sessão SVC, o usuário remoto insere o endereço IP de uma interface WebVPN do Security Appliance no navegador e o navegador se conecta a essa interface e exibe a tela de login do WebVPN. Se o usuário satisfizer o login e a autenticação e o Security Appliance identificar o usuário como exigindo o SVC, o Security Appliance fará o download do SVC para o computador remoto. Se o Security Appliance identificar que o usuário tem a opção de usar o SVC, o Security Appliance fará o download do SVC para o computador remoto enquanto apresenta um link na tela do usuário para ignorar a instalação do SVC.

Após o download, o SVC é instalado e configurado sozinho, e o SVC permanece ou se desinstala (dependendo da configuração) do computador remoto quando a conexão é encerrada.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços RFC 1918 que foram usados em um ambiente de laboratório.

Configurações do ASA 7.2(2) usando o ASDM 5.2(2)

Este documento supõe que as configurações básicas, como a configuração da interface, já foram feitas e estão funcionando corretamente.

Observação: consulte Permitindo o Acesso HTTPS para o ASDM para permitir que o ASA seja configurado pelo ASDM.

Observação: o WebVPN e o ASDM não podem ser habilitados na mesma interface ASA, a menos que você altere os números de porta. Consulte ASDM e WebVPN Habilitados na Mesma Interface do ASA para obter mais informações.

Conclua estas etapas para configurar a VPN SSL em um cabo no ASA:

1. Escolha Configuration > Interfaces e marque a caixa de seleção Enable traffic between two or more hosts connected to the same interface para permitir que o tráfego VPN SSL entre e saia da mesma interface.

2. Clique em Apply.

   

   Observação: este é o comando de configuração CLI equivalente:

   Cisco ASA 7.2(2)
   ciscoasa(config)#same-security-traffic permit intra-interface

3. Escolha Configuration > VPN > IP Address Management > IP Pools > Add para criar um pool de endereços IP chamado vpnpool.

   

4. Clique em Apply.

   Observação: este é o comando de configuração CLI equivalente:

   Cisco ASA 7.2(2)
   ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254

5. Ative o WebVPN:

   1. Escolha Configuration > VPN > WebVPN > WebVPN Access e selecione a interface externa.

   2. Clique em Enable.

   3. Marque a caixa de seleção Enable Tunnel Group Drop-down List on WebVPN Login Page para permitir que os usuários escolham seus respectivos grupos na página Login.

      

   4. Clique em Apply.

   5. Escolha Configuration > VPN > WebVPN > SSL VPN Client > Add para adicionar a imagem do SSL VPN Client da memória flash do ASA.

      

   6. Click OK.

      

   7. Click OK.

   8. Clique na caixa de seleção SSL VPN Client.

      

   Observação: estes são os comandos de configuração de CLI equivalentes:

   Cisco ASA 7.2(2)
   ciscoasa(config)#webvpn ciscoasa(config-webvpn)#enable outside ciscoasa(config-webvpn)#svc image disk0:/sslclient-win-1.1.4.179.pkg 1 ciscoasa(config-webvpn)#tunnel-group-list enable ciscoasa(config-webvpn)#svc enable

6. Configure a política de grupo:

   1. Escolha Configuration > VPN > General > Group Policy > Add (Internal Group Policy) para criar uma política de grupo interna chamada clientgroup.

   2. Clique na guia General e marque a caixa de seleção WebVPN para habilitar a WebVPN como protocolo de tunelamento.

      

   3. Clique na guia Configuração do cliente e, em seguida, clique na guia Parâmetros gerais do cliente.

   4. Escolha Tunnel All Networks na lista suspensa Split Tunnel Policy para fazer com que todos os pacotes trafeguem do PC remoto através de um túnel seguro.

      

   5. Clique na guia WebVPN > SSLVPN Client e escolha estas opções:

      1. Para a opção Use SSL VPN Client, desmarque a caixa de seleção Inherit e clique no botão de opção Optional.

         Essa opção permite que o cliente remoto escolha se deseja ou não fazer o download do SVC. A opção Sempre garante que o SVC seja baixado para a estação de trabalho remota durante cada conexão VPN SSL.

      2. Para a opção Keep Installer on Client System, desmarque a caixa de seleção Inherit e clique no botão de opção Yes

         Esta opção permite que o software SVC permaneça na máquina cliente. Consequentemente, o ASA não precisa fazer o download do software SVC para o cliente toda vez que uma conexão é feita. Esta opção é uma boa escolha para os usuários remotos que acessam frequentemente a rede corporativa.

      3. Para a opção Renegotiation Interval, desmarque a caixa Inherit, desmarque a caixa de seleção Unlimited e insira o número de minutos até a geração de uma nova chave.

         Observação: a segurança é aprimorada com a configuração de limites de tempo durante o qual uma chave é válida.

      4. Para a opção Renegotiation Method, desmarque a caixa de seleção Inherit e clique no botão de opção SSL.

         Observação: a renegociação pode usar o túnel SSL atual ou um novo túnel criado especificamente para renegociação.

      Os atributos do seu cliente VPN SSL devem ser configurados como mostrado nesta imagem:

      

   6. Clique em OK e em Aplicar.

      

   Observação: estes são os comandos de configuração de CLI equivalentes:

   Cisco ASA 7.2(2)

   ciscoasa(config)#group-policy clientgroup internal ciscoasa(config)#group-policyclientgroup attributes ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn ciscoasa(config-group-policy)#split-tunnel-policy tunnelall ciscoasa(config-group-policy)#webvpn ciscoasa(config-group-webvpn)#svc required ciscoasa(config-group-webvpn)#svc keep-installer installed ciscoasa(config-group-webvpn)#svc rekey time 30 ciscoasa(config-group-webvpn)#svc rekey method ssl

7. Escolha Configuration > VPN > General > Users > Add para criar uma nova conta de usuário ssluser1.

8. Clique em OK e em Aplicar.

   

   Observação: este é o comando CLI equivalente:

   Cisco ASA 7.2(2)
   ciscoasa(config)#username ssluser1 password asdmASA@

9. Selecione Configuration > Properties > AAA Setup > AAA Servers Groups > Edit.

10. Selecione o grupo de servidores padrão LOCAL e clique em Editar.

11. Na caixa de diálogo Editar grupo de servidores LOCAL, clique na caixa de seleção Ativar bloqueio de usuário local e digite 16 na caixa de texto Máximo de tentativas.

12. Click OK.

    

    Observação: este é o comando CLI equivalente:

    Cisco ASA 7.2(2)
    ciscoasa(config)#aaa local authentication attempts max-fail 16

13. Configure o grupo de túneis:

    1. Escolha Configuration > VPN > General > Tunnel Group > Add(WebVPN access) para criar um novo grupo de túneis chamado sslgroup.

    2. Clique na guia Geral e, em seguida, clique na guia Básico.

    3. Escolha clientgroup na lista suspensa Group Policy.

       

    4. Clique na guia Client Address Assignment e, em seguida, clique em Add para atribuir o pool de endereços disponível vpnpool.

       

    5. Clique na guia WebVPN e, em seguida, clique na guia Group Aliases and URLs.

    6. Digite o nome do alias na caixa de parâmetro e clique em Add para adicioná-lo à lista de nomes de grupo na página Login.

       

    7. Clique em OK e em Aplicar.

    Observação: estes são os comandos de configuração de CLI equivalentes:

    Cisco ASA 7.2(2)
    ciscoasa(config)#tunnel-group sslgroup type webvpn ciscoasa(config)#tunnel-group sslgroup general-attributes ciscoasa(config-tunnel-general)#address-pool vpnpool ciscoasa(config-tunnel-general)#default-group-policy clientgroup ciscoasa(config-tunnel-general)#exit ciscoasa(config)#tunnel-group sslgroup webvpn-attributes ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

14. Configure o NAT:

    1. Escolha Configuration > NAT > Add > Add Dynamic NAT Rule para permitir que o tráfego que vem da rede interna seja convertido com o uso do endereço IP externo 172.16.1.5.

       

    2. Click OK.

    3. Escolha Configuration > NAT > Add > Add Dynamic NAT Rule para permitir que o tráfego proveniente da rede externa 192.168.10.0 seja convertido com o uso do endereço IP externo 172.16.1.5.

       

    4. Click OK.

       

    5. Clique em Apply.

    Observação: estes são os comandos de configuração de CLI equivalentes:

    Cisco ASA 7.2(2)
    ciscoasa(config)#global (outside) 1 172.16.1.5 ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0 ciscoasa(config)#nat (outside) 1 192.168.10.0 255.255.255.0

Configuração de CLI do ASA 7.2(2)

ciscoasa#show running-config
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit intra-interface


!--- Command that permits the SSL VPN traffic to enter !--- and exit the same interface.


access-list 100 extended permit icmp any any
pager lines 24
mtu inside 1500
mtu outside 1500

ip local pool vpnpool 192.168.10.1-192.168.10.254


!--- The address pool for the SSL VPN Clients.


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP.


nat (inside) 1 0.0.0.0 0.0.0.0


!--- The NAT statement to define what to encrypt !--- (the addresses from vpn-pool).


nat (outside) 1 192.168.10.0 255.255.255.0

access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:0
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:
timeout uauth 0:05:00 absolute
group-policy clientgroup internal


!--- Create an internal group policy "clientgroup."


group-policy clientgroup attributes
 vpn-tunnel-protocol webvpn


!--- Enable webvpn as tunneling protocol.


 split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.


 webvpn
  svc required
  

!--- Activate the SVC under webvpn mode


svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, they renegotiate !--- the crypto keys and initialization vectors, increasing the security of !--- the connection.


svc rekey time 30


--- Command that specifies the number of minutes from the start of the !--- session until the rekey takes place, from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation takes place during SVC rekey. 


username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create an user account "ssluser1."


aaa local authentication attempts max-fail 16


!--- Enable the AAA local authentication.


http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
tunnel-group sslgroup type webvpn


!--- Create a tunnel group "sslgroup" with type as WebVPN.


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created.


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created.


tunnel-group sslgroup webvpn-attributes

 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users.


telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface.


 svc image disk0:/sslclient-win-1.1.4.179.pkg 1


!--- Assign an order to the SVC image.


 svc enable


!--- Enable the security appliance to download SVC images to remote computers.


 tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page.


prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa#

Estabeleça a conexão VPN SSL com o SVC

Conclua estes passos para estabelecer uma conexão VPN SSL com o ASA.

1. Digite no campo Endereço do seu navegador da Web o URL ou o endereço IP da interface WebVPN do ASA.

   Por exemplo:

   https://<IP address of the ASA WebVPN interface>

   

2. Digite seu nome de usuário e senha e escolha seu respectivo grupo na lista suspensa Grupo.

   

   Observação: o software AtiveX deve estar instalado no computador antes de você baixar o Cliente VPN SSL.

   

   Esta caixa de diálogo é exibida enquanto a conexão é estabelecida:

   

   Esta mensagem é exibida quando a conexão é estabelecida:

   

3. Quando a conexão for estabelecida, clique duas vezes no ícone de chave amarela que aparece na barra de tarefas do computador.

   A caixa de diálogo Cisco Systems SSL VPN Client exibe informações sobre a conexão SSL.

   

   

   

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

• show webvpn svc — Mostra as imagens do SVC armazenadas na memória flash do ASA.

  ciscoasa#show webvpn svc
  1. disk0:/sslclient-win-1.1.4.179.pkg 1
    CISCO STC win2k+ 1.0.0
    1,1,4,179
    Fri 01/18/2008 15:19:49.43
  
  1 SSL VPN Client(s) installed
  

• show vpn-sessiondb svc — Mostra informações sobre as conexões SSL atuais.

  ciscoasa#show vpn-sessiondb svc
  
  Session Type: SVC
  
  Username     : ssluser1
  Index        : 1
  Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
  Protocol     : SVC                    Encryption   : 3DES
  Hashing      : SHA1
  Bytes Tx     : 131813                 Bytes Rx     : 5082
  Client Type  : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
  Client Ver   : Cisco Systems SSL VPN Client 1, 1, 4, 179
  Group Policy : clientgroup
  Tunnel Group : sslgroup
  Login Time   : 12:38:47 UTC Mon Mar 17 2008
  Duration     : 0h:00m:53s
  Filter Name  :

• show webvpn group-alias — Exibe o alias configurado para vários grupos.

  ciscoasa#show webvpn group-alias
  Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled
  

• No ASDM, escolha Monitoring > VPN > VPN Statistics > Sessions para exibir informações sobre as sessões WebVPN atuais no ASA.

  

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

• vpn-sessiondb logoff name <username> — Permite que você faça logoff da sessão VPN SSL para o nome de usuário especificado.

  ciscoasa#vpn-sessiondb logoff name ssluser1
  Called vpn_remove_uauIth: success!
  webvpn_svc_np_tear_down: no ACL
  NFO: Number of sessions with name "ssluser1" logged off : 1
  
  

  Da mesma forma, você pode usar o comando vpn-sessiondb logoff svc para encerrar todas as sessões SVC.

  Observação: se o PC entrar no modo de espera ou hibernação, a conexão VPN SSL poderá ser encerrada.

  webvpn_rx_data_cstp
  webvpn_rx_data_cstp: got message
  SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, etc)
  Called vpn_remove_uauth: success!
  webvpn_svc_np_tear_down: no ACL
  

  ciscoasa#show vpn-sessiondb svc
  INFO: There are presently no active sessions

• Debug webvpn svc <1-255> — Fornece os eventos WebVPN em tempo real para estabelecer a sessão.

  Ciscoasa#debug webvpn svc 7 
  
  ATTR_CISCO_AV_PAIR: got SVC ACL: -1
  webvpn_rx_data_tunnel_connect
  CSTP state = HEADER_PROCESSING
  http_parse_cstp_method()
  ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
  webvpn_cstp_parse_request_field()
  ...input: 'Host: 172.16.1.1'
  Processing CSTP header line: 'Host: 172.16.1.1'
  webvpn_cstp_parse_request_field()
  ...input: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4, 179'
  Processing CSTP header line: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4,
  179'
  Setting user-agent to: 'Cisco Systems SSL VPN Client 1, 1, 4, 179'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Version: 1'
  Processing CSTP header line: 'X-CSTP-Version: 1'
  Setting version to '1'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Hostname: tacweb'
  Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
  Setting hostname to: 'tacweb'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
  Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
  webvpn_cstp_parse_request_field()
  ...input: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486
  D5BC554D2'
  Processing CSTP header line: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1
  CF236DB5E8BE70B1486D5BC554D2'
  Found WebVPN cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1
  486D5BC554D2'
  WebVPN Cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486D5B
  C554D2'
  Validating address: 0.0.0.0
  CSTP state = WAIT_FOR_ADDRESS
  webvpn_cstp_accept_address: 192.168.10.1/0.0.0.0
  CSTP state = HAVE_ADDRESS
  No subnetmask... must calculate it
  SVC: NP setup
  webvpn_svc_np_setup
  SVC ACL Name: NULL
  SVC ACL ID: -1
  SVC ACL ID: -1
  vpn_put_uauth success!
  SVC: adding to sessmgmt
  SVC: Sending response
  CSTP state = CONNECTED
  

• No ASDM, escolha Monitoring > Logging > Real-time Log Viewer > View para exibir os eventos em tempo real. Estes exemplos mostram informações de sessão entre o SVC 192.168.10.1 e o Servidor Web 10.2.2.2 na Internet através do ASA 172.16.1.5.

  

Informações Relacionadas

• Página de Suporte do Cisco 5500 Series Adaptive Security Appliance
• Exemplo de Configuração de PIX/ASA 7.x e VPN Client para VPN de Internet Pública "on a Stick"
• Exemplo de Configuração de Cliente VPN SSL (SVC ) no ASA com o ASDM
• Suporte Técnico e Documentação - Cisco Systems