AnyConnect sobre IKEv2 ao ASA com AAA e certificado de autenticação

Documentos relacionados
AnyConnect SSL sobre IPv4+IPv6 à configuração ASA

Configurar o 2.1 ISE e a verificação da postura USB de AnyConnect 4.3

PIX/ASA: Autenticação de Kerberos e de servidor de autorização LDAP grupos para usuários de cliente VPN através do exemplo de configuração ASDM/CLI

Configurando o roteador para roteador do IPsec com sobrecarga e Cisco Secure VPN Client NAT

Clientes VPN para Mac OS X FAQ

PIX/ASA 7.x: Adicionar/remova uma rede em um exemplo existente da configuração de túnel L2L VPN

Configurar o Acesso remoto ASA IKEv2 com EAP-PEAP e cliente das janelas nativas

ASA: Acesso remoto do modo do Multi-contexto (AnyConnect) VPN

Configurar a postura ASA VPN com CSD, DAP e AnyConnect 4.0

Autenticação dupla ASA AnyConnect com validação certificada, mapeamento, e manual de configuração do Pre-Fill

Configurando o PIX Firewall e VPN Clients Usando PPTP, MPPE e IPSec

Postura da versão ASA VPN com exemplo de configuração ISE

Configurar o cliente seguro da mobilidade de AnyConnect que usa a senha de uma vez (OTP) para a autenticação de dois fatores em um ASA

Índice. Introdução. Pré-requisitos. Requisitos

Igualmente o CSD e AnyConnect 4.0 fluxos do abastecimento são apresentados.

Neste manual apresentaremos a configuração de uma VPN IPSec com dois equipamentos, (DI-LB604 e um DI-804HV). Vamos simular uma Filial e uma Matriz

Legado SCEP com o uso do exemplo da configuração de CLI

Postura Inline VPN usando o ipep ISE e ASA

SoftPhone e Integração de diretório ativo

ASA/PIX: Configurar e pesquise defeitos o Reverse Route Injection (RRI)

Configurando Modo de Roteador-config, Caractere Geral, Chaves Pré-compartilhadas, sem NAT

Autenticação dupla ASA AnyConnect com validação certificada, mapeamento, e manual de configuração do Pre-Fill

Exemplo de Configuração de VPN SSL Sem Cliente (WebVPN) com o ASDM no ASA

Configurando o Cisco IP SoftPhone com a ferramenta de personalização

Esta nota apresenta como definir o SSL VPN no roteador Vigor.

NAT: Definições locais e globais

AnyConnect FAQ: Os túneis, reconectam o comportamento, e o temporizador de inatividade

Neste manual apresentaremos a configuração de uma VPN IPSec com dois equipamentos DI-LB604. Vamos simular uma Filial e uma Matriz geograficamente

IOS Router como o Easy VPN Server usando o exemplo de configuração do profissional da configuração

ASA/PIX: IP Estático que endereça para o cliente do IPSec VPN com CLI e exemplo da configuração ASDM

Configurar o ASA como um server de CA e um final do cabeçalho locais de AnyConnect

FlexVPN: Acesso remoto de AnyConnect IKEv2 com base de dados de usuário local

Configurar um túnel do IPSec local a local IKEv1 entre um ASA e um roteador do Cisco IOS

Router VPN DrayTek. Cliente VPN IPSec TheGreenBow. Guia de Configuração.

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

Configurar ISE 2.0 e cifre a criptografia de BitlLocker da postura de AnyConnect 4.2

Exemplo da configuração de cliente de FlexVPN e de Anyconnect IKEv2

AnyConnect ao final do cabeçalho IO sobre o IPsec com IKEv2 e exemplo de configuração dos Certificados

Como mudar a senha de NT para a troca e as contas de serviço de Unity

Migração de FlexVPN: Legado EzVPN-NEM+ e FlexVPN no mesmo server

Configuração de túnel VPN L2TP-IPSec Based

ASA 8.X: Exemplo de configuração do registro SCEP de AnyConnect

Configurando o Balanceamento de Carga em Concentradores VPN 3000

Compreenda como a característica automática da atualização de assinatura do ips Cisco trabalha

Atribuição do grupo de política para os clientes de AnyConnect que usam o LDAP no exemplo de configuração dos finais do cabeçalho do Cisco IOS

Client e configuração Nenhum-MODE

Dinâmico ao exemplo de configuração dinâmico do túnel de IPsec

DSL-500B Configuração modo Router PPPoE

GatePRO. Cliente VPN IPSec TheGreenBow. Guia de Configuração.

Configuração de VPN IPSec

Roteador e cliente VPN para Internet públicas em um exemplo de configuração da vara

SASAC (IMPLEMENTING CORE CISCO ASA SECURITY) 1.0

Configurar os sem clientes SSL VPN (WebVPN) no ASA

Mensagem de Erro de Cisco CR: Pergunta "FCVRS228 SQL falhada com erro SQL

O cliente VPN de AnyConnect no IOS Router com zona IO baseou o exemplo da configuração de firewall da política

Configurar o ASA como o gateway SSL para os clientes de AnyConnect que usam a autenticação baseada certificados múltiplos

Como utilizar o User Management (Gerenciamento de usuários).

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Roteamento e Comutação

Configurando IPSec entre três roteadores usando endereços privados

Configurar a integração WSA com o ISE para serviços cientes de TrustSec

Procedimento para configuração de Redirecionamento de Portas

IPSec/GRE com o NAT no exemplo de configuração do IOS Router

SIMOS (IMPLEMENTING CISCO SECURE MOBILITY) 1.0

Configurando IPSec de IOS para IOS usando criptografia de AES

Características do Grupo-fechamento ASA e de Cisco IOS e atributos AAA e exemplo de configuração WebVPN

Configuração da rede Wi-fi da Faculdade de Educação no Windows Vista

Exemplo de Configuração do PIX/ASA como um Servidor VPN Remoto com Autenticação Estendida Usando a Interface de Linha de Comando e o ASDM

Usando o ASDM para controlar um módulo de FirePOWER no ASA

Visualização de alto nível dos Certificados e das autoridades em CUCM

ASA 8.X: Distribuindo o tráfego SSL VPN com o exemplo em túnel da configuração de gateway de voz padrão

SSLVPN com exemplo de configuração dos Telefones IP

Local dinâmico para situar um túnel IKEv2 VPN entre um exemplo de configuração dois ASA

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Como recuperar e mudar o endereço IP de Um ou Mais Servidores Cisco ICM NT do RateMux C6920

Como Conectar e configurar Câmeras FullSec em um DVR CVI de 16CH FullSec -ACESSO REMOTO VIA CELULAR

Manual de Configuração D-LINK Modelo: DVG-1402S Firmware:

PIX/ASA 7.x ASDM: Restrição do Acesso à Rede de Usuários de VPN de Acesso Remoto

Procedimento para Configuração de Internet em modo Router

Ajustes da política do Internet Key Exchange (IKE) no Roteadores RV180 e RV180W VPN

Se você possui uma tomada de telefone no padrão TeleBrás siga este diagrama:

Guia para o Google Cloud Print

Exemplo de Configuração de Cliente VPN SSL (SVC ) no ASA com o ASDM

Gonçalves, Adriel - Porto Alegre, RS Brazil. Guia de Configuração TACACS+ no NR2G-3200.

PIX/ASA: Autenticação de Kerberos e de servidor de autorização LDAP grupos para usuários de cliente VPN através do exemplo de configuração ASDM/CLI

Guia para o Google Cloud Print

ASA 8.X: Permita o aplicativo de usuário ser executado com o restabelecimento do túnel L2L VPN

Digitel NRX Cliente VPN IPSec TheGreenBow. Guia de Configuração.

Segurança de redes Prof. João Henrique Kleinschmidt Prática Packet tracer Segurança: AAA, Radius e VPN

Laboratório - Identificação e Solução de Problemas de Configuração de VLAN

PIX/ASA como um servidor de VPN remoto com autenticação extendida usando o CLI e o exemplo da configuração ASDM

PIX/ASA como um servidor de VPN remoto com autenticação extendida usando o CLI e o exemplo da configuração ASDM

Guia para o Google Cloud Print

Como criar uma solicitação de assinatura de certificado no CSS SCA

ASA 8.3 e mais atrasado: Autorização RADIUS (ACS 5.x) para a utilização do acesso VPN ACL baixável com CLI e exemplo da configuração ASDM

Exemplo de Configuração de Cliente VPN SSL (SVC) com o ASDM no ASA

Transcrição:

AnyConnect sobre IKEv2 ao ASA com AAA e certificado de autenticação Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções O que você precisará Certificados com EKU apropriado Configuração do lado ASA Perfil de AnyConnect Conexão - a perspetiva do usuário Verificação no ASA Advertências conhecidas e edições Informações Relacionadas Introdução Este documento fornece informações sobre como realizar uma conexão de um PC para um Adaptive Security Appliance (ASA) utilizando o AnyConnect IPsec (IKEv2) e o certificado e a autenticação de AAA. O exemplo neste documento não é significado mostrar uma configuração direta, simplesmente partes relevantes para obter a conexão IKEv2 entre o ASA e o AnyConnect. O NAT ou a configuração de lista de acesso não são discutidos nem são precisados neste documento. Nota: Contribuído por Marcin Latosiewicz, engenheiro de TAC da Cisco. Pré-requisitos Requisitos Não existem requisitos específicos para este documento. Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: ASA 8,4 AnyConnect 3.x Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. O que você precisará Certificados com EKU apropriado Embora restrita falando não exigido pela combinação ASA e de AnyConnect, é importante notar que o RFC exige Certificados ter o uso chave estendido (EKU). Certificado para o ASA (contem o server-auth o EKU) Certificado para o PC (contem o cliente-auth EKU) Nota: Um roteador do Cisco IOS com a revisão do software recente pode pôr o EKU sobre Certificados.

Configuração do lado ASA Nota: O ASDM reserva criar a configuração básica em alguns cliques. Recomenda-se usá-lo a fim evitar erros. Configuração do crypto map: crypto dynamic-map DYN 1 set pfs group1 crypto dynamic-map DYN 1 set ikev2 ipsec-proposal secure crypto dynamic-map DYN 1 set reverse-route crypto map STATIC 65535 ipsec-isakmp dynamic DYN crypto map STATIC interface outside Propostas do IPsec (exemplo): crypto ipsec ikev2 ipsec-proposal secure protocol esp encryption aes 3des protocol esp -1 crypto ipsec ikev2 ipsec-proposal AES256-SHA protocol esp encryption aes-256 protocol esp -1 Políticas IKEv2 (exemplo): crypto ikev2 policy 1 encryption aes-256 crypto ikev2 policy 10 encryption aes-192 crypto ikev2 policy 20 encryption aes crypto ikev2 policy 30 encryption 3des crypto ikev2 policy 40 encryption des Permitindo serviços de cliente e certificado na relação correta; neste caso, fora. crypto ikev2 enable outside client-services port 443 crypto ikev2 remote-access trustpoint OUTSIDE! You will notice that the same trustpoint is also assigned for SSL, this is intended and required!!! ssl trust-point OUTSIDE outside Permitindo AnyConnect e perfil: webvpn enable outside anyconnect image disk0:/anyconnect-win-3.0.5080-k9.pkg 1 regex "Windows NT" anyconnect profiles Anyconnect disk0:/anyconnect.xml anyconnect enable tunnel-group-list enable Configuração básica username, de grupo-política e de grupo de túneis.

group-policy GroupPolicy_AC internal group-policy GroupPolicy_AC attributes dns-server value 4.2.2.2 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless default-domain value cisco.com webvpn anyconnect profiles value Anyconnect type user username cisco password 3USUcOPFUiMCO4Jk encrypted tunnel-group AC type remote-access tunnel-group AC general-attributes address-pool VPN-POOL default-group-policy GroupPolicy_AC tunnel-group AC webvpn-attributes authentication aaa certificate group-alias AC enable group-url https://bsns-asa5520-1.cisco.com/ac enable without-csd Perfil de AnyConnect O seguinte é um perfil do exemplo, partes relevantes em corajoso: <?xml version="1.0" encoding="utf-8"?> <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" xsi:schemalocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AllowLocalProxyConnections>true</AllowLocalProxyConnections> <AuthenticationTimeout>12</AuthenticationTimeout> <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">false</LocalLanAccess> <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin> <AutoReconnect UserControllable="false">true <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend</Auto ReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="true">Automatic</RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment> <AutomaticVPNPolicy>false</AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Disable <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <EnableAutomaticServerSelection UserControllable="false">false <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement> <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime> </EnableAutomaticServerSelection> <RetainVpnOnLogoff>false </RetainVpnOnLogoff> </ClientInitialization> <ServerList> <HostEntry> <HostName>bsns-asa5520-1</HostName> <HostAddress>bsns-asa5520-1.cisco.com</HostAddress> <UserGroup>AC</UserGroup> <PrimaryProtocol>IPsec</PrimaryProtocol> </HostEntry> </ServerList> </AnyConnectProfile> Conexão - a perspetiva do usuário Esta seção mostra a perspetiva do usuário da conexão quando o perfil está já atual. É importante notar que a informação que o usuário tem que pôr no GUI para conectar é o valor atrás do <hostname>. Neste caso, bsns-asa5520-1 (não o FQDN completo) é incorporado.

Porque a primeira etapa o Gateway alerta o usuário selecionar o certificado (se automático a seleção do certificado é desabilitada). Então, para o nome de usuário e senha: A conexão é bem sucedida e as estatísticas de AnyConnect podem ser verificadas.

Verificação no ASA Verifique no ASA que esta conexão está usando IKEv2, e AAA e certificado de autenticação. bsns-asa5520-1# show vpn-sessiondb detail anyconnect filter name cisco Session Type: AnyConnect Detailed Username : cisco Index : 6 Assigned IP : 172.16.99.5 Public IP : 1.2.3.4 Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent License : AnyConnect Premium Encryption : AES256 AES128 Hashing : none SHA1 SHA1 Bytes Tx : 0 Bytes Rx : 960 Pkts Tx : 0 Pkts Rx : 10 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : GroupPolicy_AC Tunnel Group : AC Login Time : 15:45:41 UTC Tue Aug 28 2012 Duration : 0h:02m:41s Inactivity : 0h:00m:00s NAC Result : Unknown VLAN Mapping : N/A VLAN : none IKEv2 Tunnels: 1 IPsecOverNatT Tunnels: 1 AnyConnect-Parent Tunnels: 1 AnyConnect-Parent: Tunnel ID : 6.1 Public IP : 1.2.3.4 Encryption : none Auth Mode : Certificate and userpassword Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client Type : AnyConnect Client Ver : 3.0.08057 IKEv2: Tunnel ID : 6.2 UDP Src Port : 60468 UDP Dst Port : 4500 Rem Auth Mode: Certificate and userpassword Loc Auth Mode: rsacertificate Encryption : AES256 Hashing : SHA1 Rekey Int (T): 86400 Seconds Rekey Left(T): 86238 Seconds PRF : SHA1 D/H Group : 5 Filter Name :

Client OS : Windows IPsecOverNatT: Tunnel ID : 6.3 Local Addr : 0.0.0.0/0.0.0.0/0/0 Remote Addr : 172.16.99.5/255.255.255.255/0/0 Encryption : AES128 Hashing : SHA1 Encapsulation: Tunnel Rekey Int (T): 28800 Seconds Rekey Left(T): 28638 Seconds Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4608000 K-Bytes Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Bytes Tx : 0 Bytes Rx : 960 Pkts Tx : 0 Pkts Rx : 10 Advertências conhecidas e edições Os pontos confiáveis IKEv2 e SSL precisam de ser os mesmos. Recomenda-se usar o FQDN como o CN em Certificados do lado ASA. Certifique-se prover o mesmo FQDN no perfil de AnyConnect no <HostAddress>. No lado do cliente ao conectar, recorde pôr no valor visível no perfil de AnyConnect na seção do <hostname>. Mesmo na configuração IKEv2, AnyConnect que conecta ao ASA transferirá o perfil e actualizações binárias sobre o SSL, mas não IPsec. A conexão de AnyConnect sobre IKEv2 ao ASA está utilizando o EAP-AnyConnect, um mecanismo proprietário que permita uma aplicação mais simples. Informações Relacionadas Notas Técnicas de Troubleshooting 1992-2014 Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 29 Julho 2013 http://www.cisco.com/cisco/web/support/br/111/1117/1117320_ac-ikev2-ca-00.html

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback