jeudi 5 octobre 2017

Cisco ASA – VPN AnyConnect

Dans cet article nous verrons comment configurer un VPN AnyConnect, permettant à des clients de se connecter à distance au réseau local de l’ASA. Le VPN AnyConnect est la solution la plus mise en avant par Cisco en ce moment. Elle a l’avantage d’être simple est légère pour le client. Voyons tout de suite la configuration.

Configuration du VPN AnyConnect

Comme toujours pour les VPN sur l’ASA, le plus simple est de recourir au Wizard. Vous verrez que celui-ci est très simple.
Dans l’écran suivant il convient de renseigner le chemin vers les images AnyConnect. Ces images serviront à installer AnyConnect sur les postes des clients. Ici, l’image Windows a été upploadée.
Il convient ensuite de choisir la méthode d’authentification. Ici une authentification locale a été choisie. Si une méthode d’authentification sur un serveur a été configurée, vous pouvez la choisir ici.
Un pool d’IP doit ensuite être choisi. Vous pouvez créer un nouveau sous-réseau.
Il faut ensuite activer le NAT exempt. Choisir l’interface et le réseau auquel le client doit avoir accès.

Test et Troubleshooting du VPN

Il est maintenant possible de tester le VPN.
En accédant à l’IP publique de l’ASA à l’aide d’un navigateur WEB, il est possible de télécharger le client AnyConnect.
La connexion est ensuite très simple.
Comme pour le VPN Site-to-Site, si la connexion de monte pas, la première chose à faire est de regarder les logs depuis la page Home.
Vous pouvez ensuite vérifier que la règle de NAT exempte est bien placée avant les autres règles.
Aussi, vous pouvez vérifier que la Policy Rule autorise le trafic voulu à traverser l’ASA.
Si ces investigations ne vous ont toujours pas permis de solutionner le problème, il convient d’examiner la configuration du VPN en détail.
Pour cela, différents écrans sont disponibles dans la section Remote Access VPN.

Paramètres additionnels

Lors du Wizard, nous avons configuré du NAT Exempt. Cela permet d’empêcher le trafic allant du réseau local vers le VPN d’être NATé. Mais le Wizard n’autorise la création que d’une seule règle. Si les utilisateurs du VPN doivent avoir accès à plusieurs sous-réseaux locaux, il convient de rajouter des règles.
Vous pouvez vous baser sur la règle existante. Il suffit de la reproduire et de spécifier un autre réseau local.
Enfin, il est une option intéressante qui n’est pas activée par défaut : le Split Tunneling.
Sans Split Tunneling, tout le trafic du client est envoyé dans le VPN. C’est-à-dire que même le trafic à destination d’internet remonte dans le VPN, pour ressortir par l’ASA.
Cela peut être intéressant pour sécuriser la connexion.
Pour activer le Split Tunneling, la configuration est la suivante.
L’ACL représente les réseaux de destination (pour le client) qui nécessitent d’emprunter le VPN pour être joints.

Publié par à Aucun commentaire:

Cisco ASA – VPN Clientless

Le VPN Clientless de l’ASA propose de se connecter à distance à une interface WEB permettant d’accéder à des ressources internes.
Simplement à l’aide d’un navigateur WEB, il est possible d’exploiter un certain nombre de ressources.
Voici comment mettre en place un VPN Clientless basique.

Configuration

Comme toujours pour les VPN, le plus simple est de recourir au Wizard.
Dans cet écran il faut choisir un nom de profile, l’interface pointant vers l’extérieur et l’alias pour accéder à l’interface WEB du VPN Clientless.
Il convient ensuite de choisir la méthode d’authentification. Ici des utilisateurs locaux seront utilisés. Bien entendu il est possible d’utiliser une configuration AAA.
Enfin, il est possible de configurer les ressources auxquelles il sera possible d’accéder via l’interface WEB.

Test et configuration avancée


Si la configuration est bonne, il est à présent possible d’accéder à l’interface WEB.
Ici, un client accédant à l’interface WEB depuis l’extérieur peut se rendre sur la page WEB du serveur intranet en cliquant sur le lien qui a été ajouté précédemment à l’étape Bookmark List.
Depuis l’onglet Remote Access VPN, il est possible de modifier la configuration du VPN Clientless.
 Dans l’écran Connection Profile nous retrouvons les paramètres généraux.
Il est possible de rajouter ou modifier des Bookmarks.
L’interface WEB est modifiable. Cela peut être pratique pour respecter la charte graphique de l’entreprise. Il est aussi possible de passer l’interface en Français, de modifier le titre, de modifier l’intitulé de certains champs, etc…

Port-Forwarding

Le Port Forwarding permet aux clients du VPN Clientless d’accéder à certaines ressources internes sur une IP et un port bien précis.
Par exemple, il est possible de mettre en place une configuration permettant à un client d’accéder à l’IP 10.0.10.10 sur le port 3389 lors d’une connexion sur 127.0.0.1:1234.
De cette manière, si le client qui utilise le VPN Clientless veut se connecter en RDP sur l’IP 10.0.10.10, il n’a qu’à lancer une connexion sur l’IP 127.0.0.1 (son IP localhost) sur le port 1234 (ou tout autre port choisi).
Voici comment réaliser la configuration.
Il convient ensuite de cliquer sur Assign et d’assigner la redirection de port au GroupPolicy voulu et ou aux utilisateurs concernés.
A présent, le client peut se connecter à l’interface WEB du VPN Clientless et cliquer sur Application Access -> Start Applications.
Une fenêtre s’ouvre alors indiquant les redirections existantes.
Attention, JAVA est utilisée pour faire fonctionner la redirection de port. Si cela ne fonctionne pas, JAVA est la première piste à explorer.
A présent, une connexion RDP sur 127.0.0.1:1234 pointe sur 10.0.10.10:3389


Publié par à 1 commentaire:
Inscription à : Articles (Atom)