REDES:CISCO ASA TUNELING SPLIT CONFIGURATION


En las páginas de manuales de Cisco, podéis encontrar un maravilloso documento para permitir configurar tu ASA con conexiones vpn y acceso a Internet desde el cliente, manteniendo la seguridad en el sistema.

Este documento proporciona instrucciones paso a paso las instrucciones sobre la forma de permitir que los clientes VPN de acceso a la Internet mientras están en un túnel de Cisco Adaptive Security Appliance (ASA) 5500 Series Security Appliance. Esta configuración permite que los clientes VPN de acceso seguro a recursos corporativos a través de IPsec mientras que da acceso no seguro a Internet.

 Advertencia: la división de túneles puede suponer un riesgo para la seguridad cuando se configura. Debido a que los clientes VPN de acceso no seguro a la Internet, que puede verse comprometida por un atacante. Ese atacante podría ser capaz de acceder a la LAN corporativa a través del túnel IPSec. Un compromiso entre el túnel completo y la división de túneles puede ser para permitir que los clientes VPN de acceso local LAN. Consulte PIX / ASA 7.x: Permitir acceso a LAN local, por ejemplo VPN Configuración de los clientes para obtener más información.

Requisitos previos

Requisitos

Este documento asume que un grupo de trabajo de configuración de acceso remoto VPN ya existe en el ASA. Consulte PIX / ASA 7.x como un servidor VPN remoto utilizando Ejemplo de configuración ASDM si uno no está ya configurado.

Los componentes usados

La información contenida en este documento se basa en estas versiones de software y hardware:

  • Cisco ASA 5500 Series Security Appliance Software versión 7.x y más tarde
  • Cisco Systems VPN Client versión 4.0.5

Nota: Este documento también contiene la configuración de CLI 6.x PIX que es compatible para el cliente VPN de Cisco 3.x.

La información contenida en este documento fue creado a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos utilizados en este documento se inició con una borra (por defecto) de configuración. Si la red está vivo, asegúrese de que usted entienda el impacto potencial de cualquier comando.

Diagrama de red

El cliente VPN está situado en una típica red de SOHO y se conecta a través de Internet a la oficina principal.

ASA-split-tunnel-vpn-client-1.gif

Productos relacionados

Esta configuración también se puede utilizar con la versión Cisco PIX 500 Series Security Appliance Software 7.x.

Convenios

Refiérase a los Convenios de Cisco Sugerencias técnicas para obtener más información sobre los convenios de documentos.

Antecedentes

En una base de clientes VPN para el escenario ASA, todo el tráfico de la VPN Client se cifra y se envía a la ASA, sin importar lo que su destino es. En base a su configuración y el número de usuarios soportados, tales un conjunto hasta puede convertirse en ancho de banda intensivo. La división de túnel puede trabajar para aliviar este problema, ya que permite a los usuarios enviar sólo que el tráfico que se destina a la red corporativa a través del túnel. El resto del tráfico, tales como mensajería instantánea, correo electrónico o navegación rápida es enviado a Internet a través de la red local del cliente de VPN.

Configuración de la división de túneles en la ASA

Configuración de la ASA 7.x con el Administrador de Adaptive Security Device (ASDM) 5.x

Siga estos pasos para configurar el grupo de túnel para permitir la división de túneles para los usuarios del grupo.

  1. Seleccione Configuración> VPN> General> Directiva de grupo y seleccione la directiva de grupo que desea habilitar el acceso de red local in A continuación, haga clic en Editar.

    ASA-split-tunnel-vpn-client-2.gif

  2. Vaya a la pestaña de configuración de cliente.

    ASA-split-tunnel-vpn-client-3.gif

  3. Desmarque la casilla Heredar de Política de Split túnel y túnel de la red eligió la lista de abajo.

    ASA-split-tunnel-vpn-client-4.gif

  4. Desactive la casilla. Heredar el cuadro de lista de redes de Split túnel y luego haga clic en Administrar con el fin de iniciar el Administrador de ACL

    ASA-split-tunnel-vpn-client-5.gif

  5. Dentro del Administrador de ACL, seleccione Agregar> Agregar ACL … con el fin de crear una nueva lista de acceso.

    ASA-split-tunnel-vpn-client-6.gif

  6. Proporcionar un nombre para el ligamento cruzado anterior y haga clic en Aceptar.

    ASA-split-tunnel-vpn-client-7.gif

  7. Una vez que la ACL se crea, haga clic en Agregar> Agregar ACE … con el fin de añadir una entrada de control de acceso (ACE).

    ASA-split-tunnel-vpn-client-8.gif

  8. Definir la ACE que corresponde a la LAN detrás de la ASA. En este caso, la red es 10.0.1.0/24.
    1. Seleccione Permitir.
    2. Elija una dirección IP de la 10.0.1.0
    3. Elija una máscara de red 255.255.255.0.
    4. (Opcional) Proporcione una descripción.
    5. Haga clic en Aceptar.

      ASA-split-tunnel-vpn-client-9.gif

  9. Haga clic en Aceptar para salir del Administrador de ACL.

    ASA-split-tunnel-vpn-client-10.gif

  10. Asegúrese de que el ligamento cruzado anterior que acaba de crear está seleccionado para la lista de separación de la red del túnel.

    ASA-split-tunnel-vpn-client-11.gif

  11. Haga clic en Aceptar para volver a la configuración de directiva de grupo.

    ASA-split-tunnel-vpn-client-12.gif

  12. Haga clic en Aplicar y luego en Enviar (si es necesario) con el fin de enviar los comandos a la ASA.

    ASA-split-tunnel-vpn-client-13.gif

Configurar el 8.x ASA con el Administrador de Adaptive Security Device (ASDM) 6.x

Siga estos pasos para configurar el grupo de túnel para permitir la división de túneles para los usuarios del grupo.

  1. Seleccione Configuración> acceso remoto VPN> Red (Cliente)> Acceso directivas de grupo, y elegir la directiva de grupo en el que desea habilitar el acceso a la LAN local. A continuación, haga clic en Editar.

    ASA-split-tunnel-vpn-client-19.gif

  2. Haga clic en la división de túnel.

    ASA-split-tunnel-vpn-client-20.gif

  3. Desmarque la casilla Heredar de Política de Split túnel, y optó por la lista de abajo del túnel de red.

    ASA-split-tunnel-vpn-client-21.gif

  4. Desactive la casilla. Heredar el cuadro de lista de redes de Split túnel, a continuación, haga clic en Administrar con el fin de iniciar el Administrador de ACL

    ASA-split-tunnel-vpn-client-22.gif

  5. Dentro del Administrador de ACL, seleccione Agregar> Agregar ACL … con el fin de crear una nueva lista de acceso.

    ASA-split-tunnel-vpn-client-23.gif

  6. Proporcionar un nombre para la ACL, y haga clic en Aceptar.

    ASA-split-tunnel-vpn-client-24.gif

  7. Una vez que la ACL se crea, haga clic en Agregar> Agregar ACE … con el fin de añadir una entrada de control de acceso (ACE).

    ASA-split-tunnel-vpn-client-25.gif

  8. Definir la ACE que corresponde a la LAN detrás de la ASA. En este caso, la red es 10.0.1.0/24.
    1. Haga clic en el botón Permitir.
    2. Elija la dirección de red 10.0.1.0/24 con máscara.
    3. (Opcional) Proporcione una descripción.
    4. Haga clic en Aceptar.

    ASA-split-tunnel-vpn-client-26.gif

  9. Haga clic en Aceptar para salir del Administrador de ACL.

    ASA-split-tunnel-vpn-client-27.gif

  10. Asegúrese de que el ligamento cruzado anterior que acaba de crear está seleccionado para la lista de separación de la red del túnel.

    ASA-split-tunnel-vpn-client-28.gif

  11. Haga clic en Aceptar para volver a la configuración de directiva de grupo.

    ASA-split-tunnel-vpn-client-29.gif

  12. Haga clic en Aplicar y luego en Enviar (si es necesario) con el fin de enviar los comandos a la ASA.

    ASA-split-tunnel-vpn-client-30.gif

Configuración de la ASA 7.x y más tarde a través de CLI

En lugar de utilizar el ASDM, puede completar estos pasos en el CLI ASA a fin de permitir la división de túneles de la ASA:

Nota: La configuración de Split Tunneling CLI es el mismo para ambos ASA 7.xy 8.x

  1. Entre en el modo de configuración.
      ciscoasa> enable
     Contraseña: ********
     ciscoasa # configure terminal
     ciscoasa (config) #
  2. Crear la lista de acceso que define la red detrás de la ASA.
      ciscoasa (config) # access-list Split_Tunnel_List destacar la red de la empresa detrás de la ASA.
     ciscoasa (config) # access-list estándar Split_Tunnel_List permiten 10.0.1.0 255.255.255.0
  3. Escriba Directiva de grupo el modo de configuración de la directiva que desea modificar.
      ciscoasa (config) # de políticas de grupo hillvalleyvpn atributos
     ciscoasa (config-de política de grupo) #
  4. Especifique la política túnel de división. En este caso la política se tunnelspecified.
      ciscoasa (config-de política de grupo) # split-tunnel-política de tunnelspecified
  5. Especifique la lista de túnel de acceso de división. En este caso, la lista es Split_Tunnel_List.
      ciscoasa (config-de política de grupo) # split-tunnel-red-lista de valores Split_Tunnel_List
  6. Ejecute este comando:
      ciscoasa (config) # grupo de túnel hillvalleyvpn generales de los atributos
  7. Asociar la directiva de grupo con el grupo del túnel
      ciscoasa (config-túnel IPSec) # default-de política de grupo hillvalleyvpn
  8. Salir de los dos modos de configuración.
      ciscoasa (config-de política de grupo) # exit
     ciscoasa (config) # exit
     ciscoasa #
  9. Guardar la configuración de la RAM no volátil (NVRAM) y pulse Enter cuando se le solicite especificar el nombre del archivo fuente.
      ciscoasa # copy running-config startup-config
    
     Fuente archivo [running-config]?
     Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
    
     3847 bytes copiados en 3.470 segundos (1282 bytes por segundo)
     ciscoasa #

Configurar PIX 6.x a través de la CLI

Siga estos pasos:

  1. Crear la lista de acceso que define la red detrás del PIX.
     PIX (config) # access-list estándar Split_Tunnel_List permiten 10.0.1.0 255.255.255.0
  2. Crear un grupo de VPN vpn3000 y especificar el túnel de división de ACL a como se muestra:
      PIX (config) # vpngroup vpn3000 dividida túnel Split_Tunnel_List

    Nota: Consulte 6.x Cisco Secure PIX Firewall y Cisco VPN Client 3.5 para Windows con Microsoft Windows 2000 y 2003 de autenticación RADIUS de IAS para obtener más información sobre la configuración de acceso remoto VPN para PIX 6.x.

Verificar

Siga los pasos de estas secciones con el fin de verificar su configuración.

Conectar con el cliente de VPN

Conecte su cliente VPN para el concentrador de VPN con el fin de verificar su configuración.

  1. Elige tu entrada de conexión de la lista y haga clic en Conectar.

    ASA-split-tunnel-vpn-client-14.gif

  2. Introduzca sus credenciales.

    ASA-split-tunnel-vpn-client-15.gif

  3. Seleccione Estado> Estadísticas … con el fin de mostrar la ventana Detalles del túnel, donde se pueden revisar los datos del túnel y ver el tráfico que fluye.

    ASA-split-tunnel-vpn-client-16.gif

  4. Vaya a la pestaña Detalles de la ruta para ver las rutas que el cliente de VPN se sujetan a la ASA.

    En este ejemplo, el Cliente VPN es asegurar el acceso a 10.0.1.0/24, mientras que el resto del tráfico no está encriptado y no se envían a través del túnel.

    ASA-split-tunnel-vpn-client-17.gif

Ver el registro VPN Client

Al examinar el registro de cliente de VPN, puede determinar si es o no el parámetro que especifica la división de túnel se establece. Para ver el registro, vaya a la pestaña Iniciar sesión en el cliente de VPN. Luego haga clic en Configuración de registro con el fin de ajustar lo que se registra. En este ejemplo, IKE se establece en 3 – alta, mientras que todos los elementos de registro de otros se establecen en 1 – bajo.

ASA-split-tunnel-vpn-client-18.gif

  Cisco Systems VPN Client Version 4.0.5 (Rel)
 Copyright (C) 1998-2003 Cisco Systems, Inc. Todos los derechos reservados.
 Tipo de cliente (s): Windows, Windows NT
 Running on: 5.1.2600 Service Pack 2

 Una 14:20:09.532 07/27/06 Sev = Info / 6 IKE/0x6300003B
 El intento de establecer una conexión con 172.22.1.160.

   ! De salida --- es suprimida  

 18 14:20:14.188 27/07/06 Sev = Info / 5 IKE/0x6300005D
 Cliente enviando una solicitud al servidor de seguridad concentrador

 19 14:20:14.188 27/07/06 Sev = Info / 5 IKE/0x6300005C
 Directiva de firewall: Producto = Cisco Systems Integrated Client, 
 Capacidad = (Política de Protección centralizada).

 20 14:20:14.188 27/07/06 Sev = Info / 5 IKE/0x6300005C
 Directiva de firewall: Producto = intrusiones de Cisco Security Agent de Prevención, 
 Capacidad = (¿Estás ahí?).

 21 14:20:14.208 27/07/06 Sev = Info / 4 IKE/0x63000013
 ENVIAR >>> ISAKMP ROBLE TRANS * (HASH, ATTR) a 172.22.1.160

 22 14:20:14.208 27/07/06 Sev = Info / 5 IKE/0x6300002F
 Se recibió un paquete ISAKMP: pares = 172.22.1.160

 23 14:20:14.208 27/07/06 Sev = Info / 4 IKE/0x63000014
 RECEPCIÓN DE ROBLE <<< ISAKMP TRANS * (HASH, ATTR) desde 172.22.1.160

 24 14:20:14.208 27/07/06 Sev = Info / 5 IKE/0x63000010
 MODE_CFG_REPLY: Atributo = INTERNAL_IPV4_ADDRESS:, valor = 10.0.1.50

 25 14:20:14.208 27/07/06 Sev = Info / 5 IKE/0x63000010
 MODE_CFG_REPLY: Atributo = INTERNAL_IPV4_NETMASK:, valor = 255.255.255.0

 26 14:20:14.208 27/07/06 Sev = Info / 5 IKE/0x6300000D
 MODE_CFG_REPLY: Atributo = MODECFG_UNITY_SAVEPWD:, valor = 0x00000000

 27 14:20:14.208 27/07/06 Sev = Info / 5 IKE/0x6300000D
 MODE_CFG_REPLY: atributo = MODECFG_UNITY_PFS:, valor = 0x00000000

 28 14:20:14.208 27/07/06 Sev = Info / 5 IKE/0x6300000E
 MODE_CFG_REPLY: Atributo = APPLICATION_VERSION, valor = Cisco Systems, 
 Inc ASA5510 Versión 7.2 (1), construido por root el Mié 31-may-06 14:45
   ! --- División de túnel que está permitido y la red LAN remota se ha definido.  
 29 14:20:14.238 27/07/06 Sev = Info / 5 IKE/0x6300000D
 MODE_CFG_REPLY: Atributo = MODECFG_UNITY_SPLIT_INCLUDE (# de split_nets), 
 valor = 0x00000001

 30 14:20:14.238 27/07/06 Sev = Info / 5 IKE/0x6300000F
 SPLIT_NET # 1
	 subred = 10.0.1.0 
	 mask = 255.255.255.0
	 protocolo = 0
	 src = 0 del puerto
	 dest port = 0
   ! De salida --- es suprimida.  

Prueba de Acceso Local LAN con Ping

Una forma adicional para probar que el cliente VPN está configurado para la división de túneles, mientras que un túnel a la ASA es utilizar el comando ping en la línea de comandos de Windows. La red local del cliente de VPN es 192.168.0.0/24 y el otro host está presente en la red con una dirección IP de 192.168.0.3.

  C: \> ping 192.168.0.3
 Haciendo ping a 192.168.0.3 con 32 bytes de datos:

 Respuesta desde 192.168.0.3: bytes = 32 tiempo <1m TTL = 255
 Respuesta desde 192.168.0.3: bytes = 32 tiempo <1m TTL = 255
 Respuesta desde 192.168.0.3: bytes = 32 tiempo <1m TTL = 255
 Respuesta desde 192.168.0.3: bytes = 32 tiempo <1m TTL = 255

 Estadísticas de ping para 192.168.0.3:
     Paquetes: enviados = 4, recibidos = 4, perdidos = 0 (0% perdidos),
 Tiempos aproximados de ida y vuelta en milisegundos:
     Mínimo = 0ms, Máximo = 0ms, Media = 0ms

Solución de problemas

Limitación con el número de entradas en una fracción de túnel ACL

Hay una restricción en el número de entradas en una ACL utiliza para el túnel de división. Se recomienda no usar más de 50-60 entradas de la ECA para la funcionalidad satisfactoria.Se recomienda implementar la función de la división en subredes para cubrir un rango de direcciones IP.

Acerca de albertoarceti
Administrador de sistemas informáticos, y erps en la industria farmacéutica.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: