Clientless SSL VPN (WebVPN) en el ejemplo de configuracin ASA

Contenido
Introduccin
Prerrequisitos
Requisitos
Componentes Utilizados
Convenciones
Configurar
Diagrama de la red
Procedimiento
Configuracin
Sustituciones Macro de Clientless SSL VPN (WEBVPN)
Verificacin
Troubleshooting
Procedimientos Usados para Troubleshooting
Comandos Usados para Troubleshooting
Problema - No se puede Conectar a Ms de Tres usuarios de VPN WEB con PIX/ASA
Problema - Los clientes de VPNsWEB No Pueden Ejecutar los Marcadores y estn Atenuados
Problema - Conexin del Citrix con el WEBVPN
Problema: Cmo evitar la necesidad de una segunda autenticacin para los usuarios
Informacin Relacionada

Introduccin
Clientless SSL VPN (WebVPN) permite acceso seguro limitado pero valioso a la red corporativa desde cualquier ubicacin. Los usuarios pueden
alcanzar el acceso basado en buscador seguro a los recursos corporativos en cualquier momento. Este documento proporciona una configuracin
directa para que Cisco Adaptive Security Appliance 5500 series (ASA) permita el acceso de Clientless SSL VPN a los recursos de red interna.
La tecnologa VPN SSL se puede utilizar de tres maneras: Clientless SSL VPN, Thin-Client SSL VPN (Port Forwarding), y SSL VPN Client
(SVC Tunnel Mode). Cada una tiene sus propias ventajas y acceso nico a los recursos.
1. Clientless SSL VPN
Un cliente remoto necesita solamente un buscador Web habilitado por SSL para acceder a los servidores Web http o https en la LAN corporativa.
El acceso est tambin disponible para buscar archivos de Windows con el sistema Comn de Archivos de Internet (CIFS). Un buen ejemplo del
acceso http es el cliente de Outlook Web Access (OWA).
2. Cliente liviano SSL VPN (expedicin del puerto)
Un cliente remoto debe descargar un pequeo subprograma Java para el acceso seguro de las aplicaciones TCP que utilizan los nmeros del
puerto esttico. El UDP no se soporta. Los ejemplos incluyen el acceso a POP3, S TP, IMAP, SSH, y a Telnet. El usuario necesita privilegios
administrativos locales porque los cambios se realizan a los archivos en el equipo local. Este mtodo de SSL VPN no funciona con las
aplicaciones que utilizan las asignaciones de puerto dinmico, por ejemplo, varias aplicaciones FTP.
Consulte Ejemplo de Configuracin de Thin-Client SSL VPN (WebVPN) en ASA con ASDM para obtener ms informacin sobre Thin-Client
SSL VPN.
3. Cliente VPN SSL (modo del SVC-tnel)
El SSL VPN Client descarga a un pequeo cliente a la estacin de trabajo remota y permite por completo, acceso seguro a los recursos en la red
corporativa interna. El SVC se puede descargar permanentemente a la estacin remota, o puede ser quitado una vez que finaliza la sesin segura.
El clientless SSL VPN se puede configurar en el Concentrador VPN de Cisco 3000 y el Routers especfico del del Cisco IOS con la versin
12.4(6)T y posterior. El acceso de Clientless SSL VPN tambin se puede configurar en Cisco ASA en la interfaz de lnea de comando (CLI) o
con el Adaptive Security Device Manager (ASDM). El uso de ASDM hace que las configuraciones sean ms directas.
Clientless SSL VPN y ASDM no deben habilitarse en la misma interfaz ASA . Es posible que las dos tecnologas coexistan en la misma interfaz
si los cambios se realizan a los nmeros del puerto. Se recomienda encarecidamente que el ASDM est habilitado en la interfaz interior, as que el

WebVPN se puede habilitar en la interfaz exterior.

Consulte el Ejemplo de Configuracin de SSL VPN Client (SVC) en ASA Using ASDM para obtener ms informacin sobre SSL VPN Client.
El Clientless SSL VPN habilita el acceso seguro a estos recursos en la LAN corporativa:
OWA/Exchange
HTTP y HTTPS a servidores Web internos
Acceso a archivos y Bsqueda en Windows
Servidores Citrix con el cliente thin de Citrix
El Cisco ASA adopta la funcin de un proxy seguro para equipos de clientes que pueden acceder a recursos preseleccionados en la LAN
corporativa.
Este documento demuestra una configuracin simple con el ASDM para habilitar el uso del Clientless SSL VPN en el Cisco ASA. La
configuracin del cliente no es necesaria si el cliente tiene ya un buscador Web con SS habilitado. La mayora de los buscadores Web ya tiene la
capacidad de invocar las sesiones SSL/TLS. Las lneas de comando resultantes de Cisco ASA tambin se muestran en este documento.

Prerrequisitos
Requisitos
Asegrese de cumplir estos requisitos antes de intentar esta configuracin:
Buscador con Client-SSL habilitado, por ejemplo, Internet Explorer, Netscape, y Mozilla
ASA con la versin 7.1 o posterior
Puerto TCP 443, que no se debe bloquear a lo largo de la trayectoria del cliente al ASA

Componentes Utilizados
La informacin que contiene este documento se basa en las siguientes versiones de software y hardware.
Cisco ASA Software Version 7.2(1)
Cisco ASDM 5.2(1)
Nota: Consulte Cmo Permitir el Acceso HTTPS para el ASDM para que el ASA sea configurado por el ASDM.
Cisco ASA 5510 series
La informacin que contiene este documento se cre a partir de los dispositivos en un ambiente de laboratorio especfico. Todos los dispositivos
usados en este documento comenzaron con una configuracin despejada (predeterminada). Si la red est funcionando, asegrese de haber
comprendido el impacto que puede tener cualquier comando.

Convenciones
Consulte Convenciones de Consejos Tcnicos de Cisco para obtener ms informacin sobre las convenciones sobre documentos.

Configurar
En esta etapa, puede ejecutar https://inside _IP Address buscador Web para acceder a la aplicacin ASDM. Una vez cargado ASDM, comienza
la configuracin para el WebVPN.
Esta seccin contiene la informacin necesaria para configurar las caractersticas descritas dentro de este documento.
Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener ms informacin sobre los comandos usados en esta seccin.

Diagrama de la red
En este documento, se utiliza esta configuracin de red:

Procedimiento
Configure la el WebVPN en el ASA con cuatro pasos principales:
Habilite el WebVPN en una interfaz ASA.
Cree una lista de servidores o de URL para el acceso del WebVPN.
Cree una poltica de grupo para los usuarios de WebVPN.
Aplique la nueva poltica del grupo a un grupo de tnel.
1. En ASDM, elija Configuration > VPN > WebVPN > WebVPN Access.

Elija la interfaz para cerrar usuarios WebVPN > Enable > Apply.

2. Elija Servers y URLs > Add.

Ingrese un nombre para la lista de servidores accesibles por el WebVPN. Haga clic en el botn Add (Agregar). Se muestra el cuadro de
dilogo Agregar Servidor o URL . Ingrese el nombre de cada servidor. ste es el nombre que el cliente ve. Elija el men desplegable URL
para cada servidor y elija el protocolo apropiado. Agregue los servidores a su lista del cuadro de dilogo Agregar Servidor o URL y haga
clic en Aceptar.

Haga clic en Apply > Save.

3. Expanda General en el men izquierdo de ASDM. Elija Group Policy > Add.

Elija Agregar Poltica de Grupo Interna. Desmarque los Tunneling Protocols: Desmarque la casilla de verificacin Inherit.
Active la casilla de verificacin WebVPN.

Elija la pestaa WebVPN. Desmarque la casilla de verificacin Inherit. Elija de la lista de funciones. Haga clic en OK> Apply.

4. Elija al Grupo de Tnel en la columna izquierda. Haga clic en el botn Editar.

Haga clic en el men desplegable Poltica de Grupo. Elija la poltica creada en el paso 3.

Es importante observar que si no se crean las nuevas Polticas de Grupos y los Grupos de Tnel, los valores predeterminados son
GroupPolicy 1 y DefaultWEBVPNGroup. Haga clic en la pestaa WebVPN.

Elija los Servidores de NetBIOS. Haga clic en el botn Add (Agregar). Complete la direccin IP del servidor WINS/NBNS. Haga clic
en OK > ACEPTABLE. Siga los prompts Apply > Save > Yes para escribir la configuracin.

Configuracin
Esta configuracin refleja los cambios realizados en ASDM para habilitar el WebVPN:
Ciscoasa
ciscoasa#show running-config
Building configuration...
ASA Version 7.2(1)
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
interface Ethernet0/0
nameif outside
security-level 0
ip address 172.22.1.160 255.255.255.0
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.2.2.1 255.255.255.0
interface Ethernet0/2
nameif DMZ1
security-level 50
no ip address
interface Management0/0
description For Mgt only
shutdown
nameif Mgt
security-level 0
ip address 10.10.10.1 255.255.255.0
management-only
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name cisco.com
pager lines 24
logging enable
logging asdm informational
mtu outside 1500

mtu inside 1500

mtu DMZ1 1500
mtu Mgt 1500
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.2.2.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!
!--- group policy configurations
!
group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
webvpn
functions url-entry file-access file-entry file-browsing mapi port-forward filter
http-proxy auto-download citrix
username cisco password 53QNetqK.Kqqfshe encrypted
!
!--- asdm configurations
!
http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!
!--- tunnel group configurations
!
tunnel-group DefaultWEBVPNGroup general-attributes
default-group-policy GroupPolicy1
tunnel-group DefaultWEBVPNGroup webvpn-attributes
nbns-server 10.2.2.2 master timeout 2 retry 2
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
!
!--- webvpn configurations
!
webvpn
enable outside

url-list ServerList "WSHAWLAP" cifs://10.2.2.2 1

url-list ServerList "FOCUS_SRV_1" https://10.2.2.3 2
url-list ServerList "FOCUS_SRV_2" http://10.2.2.4 3
!
prompt hostname context
!
end

Sustituciones Macro de Clientless SSL VPN (WEBVPN)

Las substituciones macro de Clientless SSL VPN le permiten configurar los usuarios para el acceso a los recursos personalizados que contienen la
identificacin del usuario y la contrasea u otros parmetros de entrada. Los ejemplos de tales recursos incluyen las entradas de la direccin de
Internet, las listas url, y las partes de archivos.
Nota: Por razones de seguridad, las substituciones de la contrasea se inhabilitan para el acceso al archivo URL (cifs://).
Nota: Tambin por motivos de seguridad, tenga cuidado cuando ingresa la contrasea de las sustituciones para links Web, especialmente para
instancias que no pertenecen a SSL.
Se soportan estas substituciones macro:
CSCO_WEBVPN_USERNAME - ID de inicio de sesin de usuario de SSL VPN
CSCO_WEBVPN_PASSWORD - Contrasea de inicio de sesin del usuario de VPN SSL
CSCO_WEBVPN_INTERNAL_PASSWORD - Contrasea de los recursos internos del usuario de VPN SSL
CSCO_WEBVPN_CONNECTION_PROFILE - Descenso-abajo del grupo del login del usuario de VPN SSL, un grupo alias dentro del
perfil de la conexin
5. CSCO_WEBVPN_MACRO1 - Fije con el atributo especfico del proveedor RADIUS/LDAP
6. CSCO_WEBVPN_MACRO2 - Fije con el atributo especfico del proveedor RADIUS/LDAP
1.
2.
3.
4.

Para conocer ms sobre las substituciones macro, consulte substituciones macro de Clientless SSL VPN.

Verificacin
Use esta seccin para confirmar que su configuracin funciona correctamente.
Establezca una conexin a su dispositivo ASA de un cliente exterior para probar esto:
https://ASA_outside_IP_Address
El cliente recibe una pgina de Cisco WebVPN que permite el acceso a la LAN corporativa en una manera segura. El cliente solamente cuenta
con el acceso que se enumera en la poltica creada recientemente del grupo.
Autenticacin: Un simple inicio de sesin y contrasea fueron creados en el ASA para esta prueba de concepto del laboratorio. Si un prefiere un
sencillo inicio de sesin continuo al dominio para los usuarios de WebVPN, consulte esta URL:
Ejemplo de Configuracin de ASA con WebVPN y Single Sign-on con ASDM y NTLMv1

Troubleshooting
En esta seccin encontrar informacin que puede utilizar para solucionar problemas de configuracin.
Nota: No interrumpa el comando Copy File to Server ni pase a otra pantalla cuando el proceso de copiado est en curso. Si se interrumpe la
operacin, puede hacer que se guarde un archivo incompleto en el servidor.
Nota: Los usuarios pueden cargar y descargar los nuevos archivos con el cliente del WEBVPN, pero no se permite al usuario sobregrabar los
archivos en CIFS en el WEB VPN con el comando Copy de la copia al File to Server. Cuando el usuario intenta substituir un archivo en el
servidor, el usuario recibe este mensaje: No fue posible aadir el archivo.

Procedimientos Usados para Troubleshooting

Sigue estas instrucciones de resolver problemas su configuracin.
1. En ASDM, elija Monitoring > Logging > Real-time Log Viewer > View. Cuando un cliente conecta con el ASA, observe el
establecimiento y el fin de sesin de SSL y TLS en los registros en tiempo real.

2. En ASDM, elija Monitoring > VPN > VPN Statistics > Sessions. Busque la nueva sesin WebVPN. Asegrese de elegir el filtro de
WebVPN y haga clic enFiltro. Si ocurre un problema, desve temporalmente el dispositivo ASA para asegurarse de que los clientes pueden
acceder a los recursos de red deseados. Revisa los pasos para la configuracin enumerados en este documento.

Comandos Usados para Troubleshooting

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un anlisis
del resultado del comando show.
Nota: Consulte informacin importante en los comandos del debug antes del uso de los comandos del debug.
muestra el webvpn? - Hay muchos comandos show asociados al WebVPN. Para ver el uso de los comandos show detalladamente,
consulte la seccin de referencia de comandos de la aplicacin del Cisco Security.
haga el debug del webvpn? El uso de los comandos debug puede afectar al contrario el ASA. Para ver el uso de los comandos debug
ms detalladamente, consulte la seccin de referencia de comandos de la aplicacin del Cisco Security.

Problema - No se puede Conectar a Ms de Tres usuarios de VPN WEB con PIX/ASA

Problema:
Solamente tres clientes VPN del WEB pueden conectar con ASA/PIX; la conexin para el cuarto cliente falla.

Solucin:
En la mayora de los casos, este problema se relaciona con una configuracin simultnea del login dentro de la poltica del grupo.
Utiliza este ejemplo para configurar el nmero deseado de inicios de sesin simultneos. En este ejemplo, el valor deseado era 20.
ciscoasa(config)# group-policy Bryan attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 20

Problema - Los clientes de VPNsWEB No Pueden Ejecutar los Marcadores y estn Atenuados
Problema:
Si estas direcciones de Internet fueron configuradas para que a los usuarios firmen dentro de VPN sin cliente, pero, en la pantalla principal bajo
aplicaciones de Web aparecen atenuados, cmo puedo habilitar estas conexiones HTTP de modo que los usuarios puedan hacer clic y entrar
el URL determinado?
Solucin:
Primero debe asegurarse de que el ASA pueda resolver los sitios Web con DNS. Intente hacer ping en los sitios web por nombre. Si el ASA no
puede resolver el nombre, la conexin se atenuar. Si los servidores DNS son internos a su red, configure la interfaz privada de dominio de
bsqueda DNS.

Problema - Conexin del Citrix con el WEBVPN

Problema
Aparece el mensaje de error the ica client received a corrupt icafile. para el Citrix en WEBVPN.
Solucin
Si utiliza el modo seguro de gateway para la conexin del Citrix con WebVPN, el archivo ICA puede daarse. Como el ASA no es compatible
con este modo de operacin, cree un nuevo archivo ICA en el modo directo (modo NON-seguro).

Problema: Cmo evitar la necesidad de una segunda autenticacin para los usuarios
Problema
Cuando acceder CIFS conecta en el portal del WebVPN del clientless, los usuarios se indica para las credenciales despus de hacer clic el
marcador. El LDAP se utiliza para autenticar los recursos y los usuarios han ingresado ya las credenciales del LDAP para iniciar sesin a la
sesin de VPN.
Solucin
Usted puede utilizar la caracterstica del auto-anuncio del comienzo de las emisiones en este caso. Bajo grupo-directiva especfica que es utilizada
y bajo sus atributos del WebVPN, configure esto:
auto-signon allow uri cifs://X.X.X.X/* auth-type all

donde X.X.X.X=IP del servidor y del *=restof CIFS la trayectoria para alcanzar el archivo/la carpeta de la parte en la
pregunta.
Un snippet del ejemplo de configuracin se muestra aqu:
hostname(config)# group-policy ExamplePolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all

Para ms informacin sobre esto, refiera a configurar el SSO con el HTTP bsico o la autenticacin NTLM.

Informacin Relacionada
Ejemplo de Configuracin de ASA con WebVPN y Single Sign-on con ASDM y NTLMv1
Ejemplos de Configuracin y Lista de Notas Tcnicas

 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.

Fecha de Generacin del PDF: 31 Julio 2013
http://www.cisco.com/cisco/web/support/LA/103/1030/1030113_webvpnasa.html