Клієнт vpn і доступ клієнта anyconnect наприклад конфігурації локальної мережі

Цей документ описує, як дозволити Cisco VPN Client або захищеному мобільному клієнту Cisco AnyConnect Secure Mobility тільки звертатися до їх локальної мережі, в той час як тунелюватись в пристрій адаптивної захисту Cisco (ASA) серія 5500 або ASA, серії 5500-X. Ця конфігурація дозволяє клієнти Cisco VPN або безпечний доступ захищеного мобільного клієнта Cisco AnyConnect Secure Mobility до корпоративних ресурсів через IPsec, Рівень захищених сокетів (SSL) або другу версію протоколу Internet Key Exchange (IKEv2) і все ще дає клієнтові здатність виконати дії, такі як друк , де розташований клієнт. Якщо це дозволено, трафік, призначений для Інтернету, все ще тунелюватись до ASA.

Примітка: Ця конфігурація не є налаштуванням роздільного тунелювання, при якій клієнт має нешифрований доступом до Інтернету, залишаючись підключеним до ASA або PIX. Детальний опис налаштування мережі VPN на базі IPSec між двома вузлами в пристрої захисту Cisco з версією ПО 7.x см. В документі PIX / ASA 7.x: Дозвольте Розділений тунелювання для Клієнтів VPN на Примері конфігурації ASA для отримання інформації про те, як налаштувати розділене туннелирование на ASA.

попередні умови

вимоги

Цей документ передбачає, що функціональна конфігурація VPN для віддаленого доступу вже існує на ASA.

Див. ASA 8.x Доступ VPN з Прикладом конфігурації VPN-клієнта SSL (SVC) AnyConnect для захищеного мобільного клієнта Cisco AnyConnect Secure Mobility. якщо ви вже не налаштовані.

використовувані компоненти

Відомості, що містяться в даному документі, стосуються наступних версій програмного забезпечення і устаткування:

  • Версія 9 (2) 1 серії 5500 Cisco ASA
  • Cisco Adaptive Security Device Manager (ASDM) версія 7.1 (6)
  • Версія клієнтської частини Cisco VPN 5.0.07.0440
  • Версія 3.1.05152 захищеного мобільного клієнта Cisco AnyConnect Secure Mobility

Відомості, представлені в цьому документі, були отримані від пристроїв, що працюють в спеціальній лабораторній середовищі. Всі пристрої, описані в цьому документі, були запущені з чистою (стандартної) конфігурацією. У робочій мережі необхідно вивчити потенційний вплив всіх команд до їх використання.

схема мережі

Клієнт розташований в типовій мережі Small Office / Home Office (SOHO) і підключених через Інтернет до головного офісу.

Загальні відомості

На відміну від класичного сценарію роздільного тунелювання, в якому весь трафік Інтернету відправляється нешифрований, при вирішенні доступу до локальної мережі для VPN-клієнтів, таким клієнтам дозволяється обмінюватися нешифрованими даними тільки з пристроями з мережі клієнта. Наприклад, клієнт, якому дозволяють доступ до локальної мережі, в той час як пов'язане з ASA з дому, в стані роздрукувати до його власного принтера, але не звернутися до Інтернету без першої передачі трафіку по тунелю.

Список доступу використовується, щоб дозволити доступ до локальної мережі подібно до того, як в пристрої ASA налаштовується роздільне тунелювання. Однак замість визначення мереж, які повинні шифруватися, в даному випадку список доступу визначає мережі, які не повинні шифруватися. Крім того, на відміну від сценарію роздільного тунелювання, в такому списку не потрібно вказувати дійсні мережі. Замість цього ASA надає мережа за замовчуванням 0.0.0.0/255.255.255.255, який, як розуміють, означає локальну мережу клієнта.

Налаштуйте доступ до локальної мережі для клієнтів VPN або клієнта Secure Mobility Client AnyConnect

Виконайте ці завдання для дозволу доступу клієнтів Cisco VPN або захищених мобільних клієнтів Cisco AnyConnect Secure Mobility до їх локальної мережі, в той час як пов'язане з ASA:

Налаштуйте ASA через ASDM

Виконайте ці кроки в ASDM, щоб дозволити Клієнтам VPN мати доступ до локальної мережі, в той час як пов'язане з ASA:

  1. Виберіть Configuration> Remote Access VPN> Network (Client) Access> Group Policy і виберіть Group Policy, в якому ви хочете включити доступ до локальної мережі. Потім натисніть Edit.
  • Перейдіть Вдосконалений> Розділений тунелювання.
  • Зніміть Успадковувати прапорець для Політики і виберіть Exclude Network List Below.
  • Зніміть Успадковувати прапорець для Списку мережі і потім натисніть Manage для запуску Менеджера Списку контролю доступу (ACL).
  • В даному диспетчері виберіть Додати> Додати список ACL. щоб створити новий список контролю доступу.
  • Вкажіть ім'я ACL і натисніть кнопку OK.
  • Після створення списку ACL виберіть Додати> Додати ACE. щоб додати елемент контролю доступу (ACE).
  • Визначте елемент контролю доступу, відповідний локальної мережі клієнта.
  • Натисніть кнопку OK, щоб завершити роботу з додатком ACL Manager.
  • Переконайтеся, що ACL, який ви просто створили, обраний для Списку мережі Підрозділи тунелю.
  • Натисніть кнопку OK, щоб повернутися до налаштування групової політики.
  • Натисніть кнопку Apply і потім (якщо буде потрібно) Send, щоб відправити ці команди в модуль ASA.

    Налаштуйте ASA через CLI

    Дозволити VPN-клієнтам доступ до локальної мережі при наявності підключення до ASA можна не тільки за допомогою ASDM, але і за допомогою інтерфейсу командного рядка пристрої ASA:

    1. Перехід в режим конфігурації.
  • Створіть список доступу для дозволу доступу до локальної мережі.

    Єдина річ, яка дозволена:
    rtpvpnoutbound6 (config) # дозвіл на стандарт з проведення випробувань access-list any4

    Це - відома проблема і було звернуто ідентифікатором помилки Cisco CSCut3131. Оновлення до версії з виправленням для цього дефекту, щоб бути в змозі налаштувати доступ до локальної мережі.

  • Введіть режим конфігурації Груповий політики для політики, яку ви хочете модифікувати.
  • Вкажіть політику роздільних тунелів. У цьому випадку політика є excludespecified.
  • Вкажіть список доступу до розділеним тунелях. В цьому випадку список є Local_LAN_Access.
  • Введіть наступну команду:
  • Прив'яжіть групову політику до тунельної групі
  • Вийдіть з обох режимів конфігурації.
  • Збережіть конфігурацію в незалежній пам'яті (NVRAM) і натисніть клавішу Enter, коли буде запропоновано вказати ім'я файлу джерела.

    Налаштуйте захищений мобільний клієнт Cisco AnyConnect Secure Mobility

    Для настройки захищеного мобільного клієнта Cisco AnyConnect Secure Mobility зверніться до устанавліваніе VPN-підключення на базі SSL з розділом SVC ASA 8. x: Дозволити роздільне тунелювання для VPN Client AnyConnect на прикладі конфігурації ASA.

    Поділ - виключає туннелирование, вимагає, щоб ви включили AllowLocalLanAccess в Клієнта AnyConnect. Все поділ - виключає туннелирование, розглядається як доступ до локальної мережі. Для використання виключити функції роздільного тунелювання необхідно включити перевагу AllowLocalLanAccess в перевазі Клієнта AnyConnect VPN Client. За замовчуванням доступ до локальної мережі відключений.

    Щоб дозволити доступ до локальної мережі, і тому розділитися - виключають туннелирование, адміністратор мережі може включити його в профілі, або користувачі можуть включити його в своїх привілейованих параметрах настройки (див. Образ в наступному розділі). Для дозволу доступу до локальної мережі користувач встановлює Дозволяти прапорець Доступу до локальної мережі. якщо роздільне тунелювання включено на захищеному шлюзі і налаштоване з політикою роздільних тунелів, виключають задану політику. Крім того, якщо доступ до локальної мережі дозволений з істинний , можна налаштувати Профіль Клієнта VPN.

    уподобання користувача

    Ось вибори, які необхідно зробити у вкладці Preferences на захищеному мобільному клієнті Cisco AnyConnect Secure Mobility для дозволу доступу до локальної мережі.

    Приклад профілю XML

    Ось приклад того, як налаштувати Профіль Клієнта VPN з XML.

    Виконайте кроки в цих розділах для перевірки конфігурації.

    Підключіть свій захищений мобільний клієнт Cisco AnyConnect Secure Mobility з ASA для перевірки конфігурації.

    1. Виберіть своє з'єднання зі списку серверів і натисніть Connect.
  • Виберіть Advanced Window for All Components> Statistics. для відображення Тунельного режиму.
  • Натисніть вкладку Route Details для спостереження маршрутів, до яких захищений мобільний клієнт Cisco AnyConnect Secure Mobility все ще має локальний доступ.

    У той час як весь інший трафік зашифрований і переданий через тунель, в даному прикладі клієнту дозволяють доступ до локальної мережі до 10.150.52.0/22 ​​і 169.254.0.0/16.

    Захищений мобільний клієнт Cisco AnyConnect Secure Mobility

    При дослідженні журналів AnyConnect від зв'язки (bundle) Діагностики та засоби створення звітів (DART) можна визначити, чи телевізор налаштовано, який дозволяє доступ до локальної мережі.

    Перевірка доступу до локальної мережі за допомогою ехо-запиту

    Усунення несправностей

    Цей розділ забезпечує інформацію, яку ви можете використовувати для того, щоб усунути несправність у вашій конфігурації.


    У Випуску Microsoft Windows XP Professional файл LMHOSTS розташований в% SystemRoot% \ System32 \ Drivers \ Etc. Див. Вашу документацію microsoft або Статтю бази знань Microsoft 314108 для отримання додаткової інформації.

    • додаткові відомості