Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
Introduccin
Prerrequisitos
Requisitos
Componentes Utilizados
Convenciones
Configurar
Diagrama de la red
Procedimiento
Configuracin
Sustituciones Macro de Clientless SSL VPN (WEBVPN)
Verificacin
Troubleshooting
Procedimientos Usados para Troubleshooting
Comandos Usados para Troubleshooting
Problema - No se puede Conectar a Ms de Tres usuarios de VPN WEB con PIX/ASA
Problema - Los clientes de VPNsWEB No Pueden Ejecutar los Marcadores y estn Atenuados
Problema - Conexin del Citrix con el WEBVPN
Problema: Cmo evitar la necesidad de una segunda autenticacin para los usuarios
Informacin Relacionada
Introduccin
Clientless SSL VPN (WebVPN) permite acceso seguro limitado pero valioso a la red corporativa desde cualquier ubicacin. Los usuarios pueden
alcanzar el acceso basado en buscador seguro a los recursos corporativos en cualquier momento. Este documento proporciona una configuracin
directa para que Cisco Adaptive Security Appliance 5500 series (ASA) permita el acceso de Clientless SSL VPN a los recursos de red interna.
La tecnologa VPN SSL se puede utilizar de tres maneras: Clientless SSL VPN, Thin-Client SSL VPN (Port Forwarding), y SSL VPN Client
(SVC Tunnel Mode). Cada una tiene sus propias ventajas y acceso nico a los recursos.
1. Clientless SSL VPN
Un cliente remoto necesita solamente un buscador Web habilitado por SSL para acceder a los servidores Web http o https en la LAN corporativa.
El acceso est tambin disponible para buscar archivos de Windows con el sistema Comn de Archivos de Internet (CIFS). Un buen ejemplo del
acceso http es el cliente de Outlook Web Access (OWA).
2. Cliente liviano SSL VPN (expedicin del puerto)
Un cliente remoto debe descargar un pequeo subprograma Java para el acceso seguro de las aplicaciones TCP que utilizan los nmeros del
puerto esttico. El UDP no se soporta. Los ejemplos incluyen el acceso a POP3, S TP, IMAP, SSH, y a Telnet. El usuario necesita privilegios
administrativos locales porque los cambios se realizan a los archivos en el equipo local. Este mtodo de SSL VPN no funciona con las
aplicaciones que utilizan las asignaciones de puerto dinmico, por ejemplo, varias aplicaciones FTP.
Consulte Ejemplo de Configuracin de Thin-Client SSL VPN (WebVPN) en ASA con ASDM para obtener ms informacin sobre Thin-Client
SSL VPN.
3. Cliente VPN SSL (modo del SVC-tnel)
El SSL VPN Client descarga a un pequeo cliente a la estacin de trabajo remota y permite por completo, acceso seguro a los recursos en la red
corporativa interna. El SVC se puede descargar permanentemente a la estacin remota, o puede ser quitado una vez que finaliza la sesin segura.
El clientless SSL VPN se puede configurar en el Concentrador VPN de Cisco 3000 y el Routers especfico del del Cisco IOS con la versin
12.4(6)T y posterior. El acceso de Clientless SSL VPN tambin se puede configurar en Cisco ASA en la interfaz de lnea de comando (CLI) o
con el Adaptive Security Device Manager (ASDM). El uso de ASDM hace que las configuraciones sean ms directas.
Clientless SSL VPN y ASDM no deben habilitarse en la misma interfaz ASA . Es posible que las dos tecnologas coexistan en la misma interfaz
si los cambios se realizan a los nmeros del puerto. Se recomienda encarecidamente que el ASDM est habilitado en la interfaz interior, as que el
Prerrequisitos
Requisitos
Asegrese de cumplir estos requisitos antes de intentar esta configuracin:
Buscador con Client-SSL habilitado, por ejemplo, Internet Explorer, Netscape, y Mozilla
ASA con la versin 7.1 o posterior
Puerto TCP 443, que no se debe bloquear a lo largo de la trayectoria del cliente al ASA
Componentes Utilizados
La informacin que contiene este documento se basa en las siguientes versiones de software y hardware.
Cisco ASA Software Version 7.2(1)
Cisco ASDM 5.2(1)
Nota: Consulte Cmo Permitir el Acceso HTTPS para el ASDM para que el ASA sea configurado por el ASDM.
Cisco ASA 5510 series
La informacin que contiene este documento se cre a partir de los dispositivos en un ambiente de laboratorio especfico. Todos los dispositivos
usados en este documento comenzaron con una configuracin despejada (predeterminada). Si la red est funcionando, asegrese de haber
comprendido el impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones de Consejos Tcnicos de Cisco para obtener ms informacin sobre las convenciones sobre documentos.
Configurar
En esta etapa, puede ejecutar https://inside _IP Address buscador Web para acceder a la aplicacin ASDM. Una vez cargado ASDM, comienza
la configuracin para el WebVPN.
Esta seccin contiene la informacin necesaria para configurar las caractersticas descritas dentro de este documento.
Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener ms informacin sobre los comandos usados en esta seccin.
Diagrama de la red
En este documento, se utiliza esta configuracin de red:
Procedimiento
Configure la el WebVPN en el ASA con cuatro pasos principales:
Habilite el WebVPN en una interfaz ASA.
Cree una lista de servidores o de URL para el acceso del WebVPN.
Cree una poltica de grupo para los usuarios de WebVPN.
Aplique la nueva poltica del grupo a un grupo de tnel.
1. En ASDM, elija Configuration > VPN > WebVPN > WebVPN Access.
Elija la interfaz para cerrar usuarios WebVPN > Enable > Apply.
Ingrese un nombre para la lista de servidores accesibles por el WebVPN. Haga clic en el botn Add (Agregar). Se muestra el cuadro de
dilogo Agregar Servidor o URL . Ingrese el nombre de cada servidor. ste es el nombre que el cliente ve. Elija el men desplegable URL
para cada servidor y elija el protocolo apropiado. Agregue los servidores a su lista del cuadro de dilogo Agregar Servidor o URL y haga
clic en Aceptar.
Elija Agregar Poltica de Grupo Interna. Desmarque los Tunneling Protocols: Desmarque la casilla de verificacin Inherit.
Active la casilla de verificacin WebVPN.
Elija la pestaa WebVPN. Desmarque la casilla de verificacin Inherit. Elija de la lista de funciones. Haga clic en OK> Apply.
Haga clic en el men desplegable Poltica de Grupo. Elija la poltica creada en el paso 3.
Es importante observar que si no se crean las nuevas Polticas de Grupos y los Grupos de Tnel, los valores predeterminados son
GroupPolicy 1 y DefaultWEBVPNGroup. Haga clic en la pestaa WebVPN.
Elija los Servidores de NetBIOS. Haga clic en el botn Add (Agregar). Complete la direccin IP del servidor WINS/NBNS. Haga clic
en OK > ACEPTABLE. Siga los prompts Apply > Save > Yes para escribir la configuracin.
Configuracin
Esta configuracin refleja los cambios realizados en ASDM para habilitar el WebVPN:
Ciscoasa
ciscoasa#show running-config
Building configuration...
ASA Version 7.2(1)
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
interface Ethernet0/0
nameif outside
security-level 0
ip address 172.22.1.160 255.255.255.0
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.2.2.1 255.255.255.0
interface Ethernet0/2
nameif DMZ1
security-level 50
no ip address
interface Management0/0
description For Mgt only
shutdown
nameif Mgt
security-level 0
ip address 10.10.10.1 255.255.255.0
management-only
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name cisco.com
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
Para conocer ms sobre las substituciones macro, consulte substituciones macro de Clientless SSL VPN.
Verificacin
Use esta seccin para confirmar que su configuracin funciona correctamente.
Establezca una conexin a su dispositivo ASA de un cliente exterior para probar esto:
https://ASA_outside_IP_Address
El cliente recibe una pgina de Cisco WebVPN que permite el acceso a la LAN corporativa en una manera segura. El cliente solamente cuenta
con el acceso que se enumera en la poltica creada recientemente del grupo.
Autenticacin: Un simple inicio de sesin y contrasea fueron creados en el ASA para esta prueba de concepto del laboratorio. Si un prefiere un
sencillo inicio de sesin continuo al dominio para los usuarios de WebVPN, consulte esta URL:
Ejemplo de Configuracin de ASA con WebVPN y Single Sign-on con ASDM y NTLMv1
Troubleshooting
En esta seccin encontrar informacin que puede utilizar para solucionar problemas de configuracin.
Nota: No interrumpa el comando Copy File to Server ni pase a otra pantalla cuando el proceso de copiado est en curso. Si se interrumpe la
operacin, puede hacer que se guarde un archivo incompleto en el servidor.
Nota: Los usuarios pueden cargar y descargar los nuevos archivos con el cliente del WEBVPN, pero no se permite al usuario sobregrabar los
archivos en CIFS en el WEB VPN con el comando Copy de la copia al File to Server. Cuando el usuario intenta substituir un archivo en el
servidor, el usuario recibe este mensaje: No fue posible aadir el archivo.
2. En ASDM, elija Monitoring > VPN > VPN Statistics > Sessions. Busque la nueva sesin WebVPN. Asegrese de elegir el filtro de
WebVPN y haga clic enFiltro. Si ocurre un problema, desve temporalmente el dispositivo ASA para asegurarse de que los clientes pueden
acceder a los recursos de red deseados. Revisa los pasos para la configuracin enumerados en este documento.
Solucin:
En la mayora de los casos, este problema se relaciona con una configuracin simultnea del login dentro de la poltica del grupo.
Utiliza este ejemplo para configurar el nmero deseado de inicios de sesin simultneos. En este ejemplo, el valor deseado era 20.
ciscoasa(config)# group-policy Bryan attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 20
Problema - Los clientes de VPNsWEB No Pueden Ejecutar los Marcadores y estn Atenuados
Problema:
Si estas direcciones de Internet fueron configuradas para que a los usuarios firmen dentro de VPN sin cliente, pero, en la pantalla principal bajo
aplicaciones de Web aparecen atenuados, cmo puedo habilitar estas conexiones HTTP de modo que los usuarios puedan hacer clic y entrar
el URL determinado?
Solucin:
Primero debe asegurarse de que el ASA pueda resolver los sitios Web con DNS. Intente hacer ping en los sitios web por nombre. Si el ASA no
puede resolver el nombre, la conexin se atenuar. Si los servidores DNS son internos a su red, configure la interfaz privada de dominio de
bsqueda DNS.
Problema: Cmo evitar la necesidad de una segunda autenticacin para los usuarios
Problema
Cuando acceder CIFS conecta en el portal del WebVPN del clientless, los usuarios se indica para las credenciales despus de hacer clic el
marcador. El LDAP se utiliza para autenticar los recursos y los usuarios han ingresado ya las credenciales del LDAP para iniciar sesin a la
sesin de VPN.
Solucin
Usted puede utilizar la caracterstica del auto-anuncio del comienzo de las emisiones en este caso. Bajo grupo-directiva especfica que es utilizada
y bajo sus atributos del WebVPN, configure esto:
auto-signon allow uri cifs://X.X.X.X/* auth-type all
donde X.X.X.X=IP del servidor y del *=restof CIFS la trayectoria para alcanzar el archivo/la carpeta de la parte en la
pregunta.
Un snippet del ejemplo de configuracin se muestra aqu:
hostname(config)# group-policy ExamplePolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all
Para ms informacin sobre esto, refiera a configurar el SSO con el HTTP bsico o la autenticacin NTLM.
Informacin Relacionada
Ejemplo de Configuracin de ASA con WebVPN y Single Sign-on con ASDM y NTLMv1
Ejemplos de Configuracin y Lista de Notas Tcnicas