Configure el túnel de la Administración VPN deAnyConnect en el ASA Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosAntecedentesFuncionamiento del túnel de la AdministraciónLimitacionesConfigurarConfiguración en el ASA con ASDM/CLICreación del perfil de la Administración VPN de AnyConnectMétodos de implementación para el perfil de la Administración VPN de AnyConnect(Opcional) configure un atributo personalizado para utilizar Túnel-toda configuraciónVerificaciónTroubleshootingInformación Relacionada

Introducción

Este documento describe cómo configurar un dispositivo de seguridad adaptante (ASA) como elgateway de VPN valida las conexiones del Cliente de movilidad Cisco AnyConnect Secure através del túnel de la Administración VPN.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Configuración VPN a través del Administrador de dispositivos de seguridad adaptante(ASDM)

●

Configuración CLI básica ASA●

Certificados X509●

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software:

Versión de software adaptante 9.12(3)9 del dispositivo de seguridad de Cisco (ASA)●

Versión de software 7.12.2 del Cisco Adaptive Security Device Manager (ASDM)●

Windows 10 con la versión 4.8.03036 del Cliente de movilidad Cisco AnyConnect Secure●

Nota: Descargue el paquete de AnyConnect VPN Webdeploy (anyconnect-win*.package oanyconnect-macos*.package) del Copie el AnyConnect VPN client en la memoria flash ASA,que será descargada a los equipos de los usuarios remotos para establecer la conexiónSSL VPN con el ASA. Refiera a instalar la sección del cliente de AnyConnect de la guía deconfiguración ASA para más información.

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,debe asegurarse de comprender el posible impacto que puede tener un comando.

Antecedentes

Un túnel de la Administración VPN asegura la Conectividad a la red corporativa siempre que elsistema del cliente se accione para arriba, no en el momento en que una conexión VPN esestablecida por el usuario final. Usted puede realizar la Administración de la corrección en laspuntos finales de la hacia fuera-de--oficina, especialmente los dispositivos que son conectadosinfrecuentemente por el usuario, vía el VPN, con la red de oficinas. Los scripts de la clave OS dela punto final que requieren Conectividad de la red corporativa también se benefician de estacaracterística.

El túnel de la Administración de AnyConnect permite que los administradores tengan AnyConnectconectado sin la intervención del usuario antes del ingreso del usuario al sistema. Que accionansolamente cuando la punto final es apagado-premisa y que se desconectan a la Administraciónde AnyConnect que el túnel puede para trabajar conjuntamente con la detección de la red deconfianza y por lo tanto del VPN Usuario-iniciado. El túnel de la Administración de AnyConnect estransparente al usuario final y desconecta automáticamente cuando el usuario inicia el VPN.

OS/Application Requisitos de la versión mínimaASA 9.0.1ASDM 7.10.1Versión de Windows AnyConnect 4.7.00136versión MaOS AnyConnect 4.7.01076Linux  Sin apoyo 

Funcionamiento del túnel de la Administración

El servicio del agente de AnyConnect VPN se comienza automáticamente sobre el cargador delprograma inicial-para arriba del sistema. Detecta que la característica del túnel de laAdministración está activada (vía el perfil de la Administración VPN), por lo tanto pone en marchala aplicación cliente de la Administración para iniciar una conexión del túnel de la Administración.La aplicación cliente de la Administración utiliza la entrada de host del perfil de la AdministraciónVPN para iniciar la conexión. Entonces el túnel VPN se establece como de costumbre, con unaexcepción: no se realiza ninguna actualización de software durante una conexión del túnel de laAdministración puesto que el túnel de la Administración se significa para ser transparente alusuario.

El usuario inicia un túnel VPN vía el AnyConnect UI, que acciona la terminación del túnel de laAdministración. Sobre la terminación del túnel de la Administración, el establecimiento del túnel

del usuario continúa como de costumbre.

El usuario desconecta el túnel VPN, que acciona el reestablecimiento automático del túnel de laAdministración.

Limitaciones

La interacción del usuario no se utiliza.●

la autenticación Certificado-basada a través del certificado de la máquina salva (Windows) seutiliza solamente.

●

Se aplica el controlar estricto del certificado de servidor.●

El proxy privado no se utiliza.●

Un proxy público no se utiliza (el valor de ProxyNative se utiliza en las Plataformas en dondelas configuraciones de representación nativas no se extraen del navegador).

●

Los scripts del arreglo para requisitos particulares de AnyConnect no se utilizan.●

Nota: Para más información, refiera el toAbout el túnel de la Administración VPN.

Configurar

Esta sección describe cómo configurar Cisco ASA como el gateway de VPN para validar lasconexiones de los clientes de AnyConnect a través del túnel de la Administración VPN.

Configuración en el ASA con ASDM/CLI

Paso 1. Cree la directiva del grupo de AnyConnect. Navegue a la configuración > al VPN deacceso remoto > las directivas al acceso > al grupo de la red (cliente). Haga clic en Add(Agregar).

Nota: Es recomendable crear una nueva directiva del grupo de AnyConnect que se utilicepara el túnel de la Administración de AnyConnect solamente.

Paso 2. Proporcione a un nombre para la directiva del grupo. Asigne/cree un pool deldireccionamiento. Seleccione los protocolos de túneles como el cliente e IPsec IKEv2 SSL VPN,tal y como se muestra en de la imagen.

Paso 3. Navegue a avanzado > Túnel dividido. Configure la directiva como lista de la red detúneles abajo y elija la lista de red, tal y como se muestra en de la imagen.

Nota: Si no empujan a una dirección cliente para ambos protocolos IP (IPv4 y IPv6), laconfiguración del protocolo de puente del cliente debe ser activada de modo que el tráficocorrespondiente no sea interrumpido por el túnel de la Administración. Para configurar,refiera el paso 4.

Paso 4. Navegue a avanzado > cliente de AnyConnect. Fije el protocolo de puente del clientepara activar. Haga clic la AUTORIZACIÓN para salvar, tal y como se muestra en de la imagen.

Paso 5. Tal y como se muestra en de esta imagen, el tecleo se aplica para empujar laconfiguración al ASA.

Configuración CLI para la directiva del grupo.

ip local pool VPN_Pool 192.168.10.1-192.168.10.100 mask 255.255.255.0

! access-list VPN-Split standard permit 172.168.0.0 255.255.0.0

! group-policy AnyConnect_MGMT_Tunnel internal

group-policy AnyConnect_MGMT_Tunnel attributes

vpn-tunnel-protocol ikev2 ssl-client

split-tunnel-network-list value VPN-Split

client-bypass-protocol enable

address-pools value VPN_Pool

Paso 6. Cree el perfil de la conexión de AnyConnect. Navegue a la configuración > al acceso delVPN de acceso remoto > de la red (cliente) > al perfil de la conexión de AnyConnect. Haga clic enAdd (Agregar). 

Nota: Es recomendable crear un nuevo perfil de la conexión de AnyConnect que se utilicepara el túnel de la Administración de AnyConnect solamente.

Paso 7. Proporcione a un nombre para el perfil de la conexión, y el método de autenticación delconjunto como certificado solamente. Elija la directiva del grupo como la que está creada en elpaso 1.

Nota: Asegúrese de que el certificado raíz del CA local esté presente en elASA. Navegue agregar/visión al Certificate Management (Administración de certificados) dela configuración > del VPN de acceso remoto > a los Certificados CA el certificado. 

Nota: Asegúrese de que un certificado de identidad publicado por el mismo CA local existaen el almacén del certificado de la máquina (para Windows) y/o en el llavero del sistema(para MaOS).

Paso 8. Navegue a avanzado > alias/grupo URL del grupo. El tecleo agrega bajo grupoURL y agrega un URL. Asegúrese que activado esté controlado. Haga clic laAUTORIZACIÓN para salvar, tal y como se muestra en de la imagen.

Si se utiliza IKEv2, asegúrese que acceso de IPsec (IKEv2) esté activado en el interfaz usadopara AnyConnect.

Paso 9. El tecleo se aplica para empujar la configuración al ASA.

Configuración CLI para el perfil de la conexión (grupo de túnel).

tunnel-group AnyConnect_MGMT_Tunnel type remote-access

tunnel-group AnyConnect_MGMT_Tunnel general-attributes

default-group-policy AnyConnect_MGMT_Tunnel

tunnel-group AnyConnect_MGMT_Tunnel webvpn-attributes

authentication certificate

group-url https://asa.example.com/AnyConnect_MGMT_Tunnel enable

Paso 10. Asegúrese de que un certificado confiable esté instalado en el ASA y limite al interfazusado para las conexiones de AnyConnect. Navegue a la configuración > al VPN de accesoremoto > avanzó > agregar/visión de las configuraciones SSL esta configuración.

Nota: Refiera a la instalación del certificado de identidad en el ASA.

Configuración CLI para SSL Trustpoint:

ssl trust-point ROOT-CA outside

Creación del perfil de la Administración VPN de AnyConnect

Paso 1. Cree el perfil del cliente de AnyConnect. Navegue a la configuración > al acceso del VPNde acceso remoto > de la red (cliente) > al perfil del cliente de AnyConnect. El tecleo agrega, tal ycomo se muestra en de la imagen.

Paso 2. Proporcione a un nombre del perfil. Elija el uso del perfil como perfil de la AdministraciónVPN de AnyConnect. Elija la directiva del grupo creada en la AUTORIZACIÓN del tecleo del paso1., tal y como se muestra en de la imagen.

Paso 3. Seleccione el perfil creado y haga clic en corrigen, tal y como se muestra en de laimagen.

Paso 4. Navegue a la lista de servidores. El tecleo agrega para agregar una nueva entrada delista de servidores, tal y como se muestra en de la imagen.

Paso 5. Proporcione a un nombre de la visualización. Agregue la dirección IP FQDN del ASA.Proporcione al grupo de usuarios como el nombre de grupo de túnel. El grupo URL se pueblaautomáticamente con el FQDN y el grupo de usuarios. Click OK.

Nota: La dirección IP + el grupo de usuarios FQDN deben ser lo mismo que el grupo URLmencionado durante la configuración del perfil de la conexión de AnyConnect en el paso 8.

Nota: AnyConnect con IKEv2 como protocolo se puede también utilizar para establecer laAdministración VPN al ASA. Asegúrese que el protocolo primario esté fijado a IPsec en elpaso 5.

Paso 6. Según lo mostrado en la imagen, AUTORIZACIÓN del tecleo para salvar.

Paso 7. El tecleo se aplica para empujar la configuración al ASA, tal y como se muestra en de laimagen.

Configuración CLI después de la adición de perfil de la Administración VPN de AnyConnect.

webvpn

enable outside

hsts

enable

max-age 31536000

include-sub-domains

no preload

no anyconnect-essentials

anyconnect image disk0:/anyconnect-win-4.8.02045-webdeploy-k9.pkg 1

anyconnect profiles AnyConnect_MGMT_Profile disk0:/anyconnect_mgmt_profile.vpnm

anyconnect enable

tunnel-group-list enable

cache

disable

error-recovery disable

!

group-policy AnyConnect_MGMT_Tunnel internal

group-policy AnyConnect_MGMT_Tunnel attributes

vpn-tunnel-protocol ikev2 ssl-client

split-tunnel-network-list value VPN-Split

client-bypass-protocol enable

address-pools value VPN_Pool

webvpn

anyconnect profiles value AnyConnect_MGMT_Profile type vpn-mgmt

Perfil de la Administración VPN de AnyConnect en la máquina del cliente de AnyConnect

<?xml version="1.0" encoding="UTF-8"?>

<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">

<ClientInitialization>

<UseStartBeforeLogon UserControllable="false">false</UseStartBeforeLogon>

<AutomaticCertSelection UserControllable="false">true</AutomaticCertSelection>

<ShowPreConnectMessage>false</ShowPreConnectMessage>

<CertificateStore>Machine</CertificateStore>

<CertificateStoreMac>System</CertificateStoreMac>

<CertificateStoreOverride>true</CertificateStoreOverride>

<ProxySettings>IgnoreProxy</ProxySettings>

<AllowLocalProxyConnections>true</AllowLocalProxyConnections>

<AuthenticationTimeout>30</AuthenticationTimeout>

--- Output Omitted ---

<CaptivePortalRemediationBrowserFailover>false</CaptivePortalRemediationBrowserFailover>

<AllowManualHostInput>false</AllowManualHostInput> </ClientInitialization> <ServerList>

<HostEntry>

<HostName>AnyConnect_MGMT_Tunnel</HostName>

<HostAddress>asa.example.com</HostAddress>

<UserGroup>AnyConnect_MGMT_Tunnel</UserGroup>

</HostEntry>

</ServerList>

</AnyConnectProfile>

Nota: Si la detección de la red de confianza (TND) se utiliza en el perfil de AnyConnect VPNdel usuario es recomendable hacer juego las mismas configuraciones en el perfil de laAdministración VPN para la experiencia constante del usuario. La Administración que seacciona el túnel VPN basó en las configuraciones TND aplicadas en el perfil del túnel delusuario VPN. Además, los TND conectan la acción en el perfil de la Administración VPN(aplicado solamente cuando el túnel de la Administración VPN es activo), se aplican siempreal túnel del usuario VPN, para asegurarse de que el túnel de la Administración VPN estransparente al usuario final.

Métodos de implementación para el perfil de la Administración VPN de AnyConnect

Una conexión VPN acertada del usuario se completa con el perfil de la conexión ASA paradescargar el perfil de la Administración VPN de AnyConnect del gateway de VPN.

●

Nota: Si el protocolo usado para el túnel de la Administración VPN es IKEv2, la primeraconexión es necesaria ser establecida con el SSL (para descargar el perfil de laAdministración VPN de AnyConnect del ASA).

El perfil de la Administración VPN de AnyConnect se podría cargar por teletratamientomanualmente a las máquinas del cliente con un empuje GPO o por la instalación manual(asegúrese que el nombre del perfil sea VpnMgmtTunProfile.xml).

●

     Ubicación de la carpeta en donde el perfil necesita ser agregado:

     Windows: Cliente seguro \ perfil \ MgmtTun de la movilidad de C:\ProgramData\Cisco\CiscoAnyConnect

     MaOS: /opt/cisco/anyconnect/profile/mgmttun/ 

(Opcional) configure un atributo personalizado para utilizar Túnel-toda configuración

El túnel de la Administración VPN requiere la fractura incluye la configuración del Tunelización,por abandono, para evitar afectar la comunicación de la red usuario-iniciada. Esto puede serreemplazada configurando el atributo personalizado en la directiva del grupo usada por laconexión del túnel de la Administración.

Paso 1. Navegue al acceso de la configuración > del VPN de acceso remoto > de la red (cliente) >avanzó > los atributos personalizados de AnyConnect. El tecleo agrega, tal y como se muestra ende la imagen.

Paso 2. Fije el tipo del atributo personalizado a ManagementTunnelAllAllowed y proporcione auna descripción. Haga clic la AUTORIZACIÓN, tal y como se muestra en de la imagen.

Paso 3. Navegue al acceso de la configuración > del VPN de acceso remoto > de la red (cliente) >avanzó > los nombres del atributo personalizado de AnyConnect. El tecleo agrega, tal y como semuestra en de la imagen.

Paso 4. Seleccione el tipo como ManagementTunnelAllAllowed. Nombre del conjunto comoverdad. El tecleo agrega para proporcionar al valor de atributo personalizado, tal y como semuestra en de la imagen.

Paso 5. Valor establecido como verdad. AUTORIZACIÓN del tecleo, tal y como se muestra en de

la imagen.

Paso 6. Navegue a la configuración > al VPN de acceso remoto > las directivas al acceso > algrupo de la red (cliente). Elija la directiva del grupo. El tecleo corrige, tal y como se muestra en dela imagen.

Paso 7. Según lo mostrado en esta imagen, navegue a avanzado > Túnel dividido. Configure ladirectiva como túnel todas las redes. 

Paso 8. Navegue a avanzado > cliente > los atributos personalizados de Anyconnect. El tecleoagrega, tal y como se muestra en de la imagen.

Paso 9. Elija el tipo del atributo como ManagementTunnelAllAllowed y seleccione el valor comoverdad. Haga clic la AUTORIZACIÓN, tal y como se muestra en de la imagen.

Paso 10. El tecleo se aplica para empujar la configuración al ASA, tal y como se muestra en de laimagen.

Configuración CLI para después de agregar el atributo personalizado deManagementTunnelAllAllowed

webvpn

enable outside

anyconnect-custom-attr ManagementTunnelAllAllowed description ManagementTunnelAllAllowed

hsts

enable

max-age 31536000

include-sub-domains

no preload

no anyconnect-essentials

anyconnect image disk0:/anyconnect-win-4.8.02045-webdeploy-k9.pkg 1

anyconnect profiles AnyConnect_MGMT_Profile disk0:/anyconnect_mgmt_profile.vpnm

anyconnect enable

tunnel-group-list enable

cache

disable

error-recovery disable

!

anyconnect-custom-data ManagementTunnelAllAllowed true true

!

group-policy AnyConnect_MGMT_Tunnel internal

group-policy AnyConnect_MGMT_Tunnel attributes

vpn-tunnel-protocol ikev2 ssl-client

split-tunnel-policy tunnelall

client-bypass-protocol enable

address-pools value VPN_Pool

anyconnect-custom ManagementTunnelAllAllowed value true

webvpn

anyconnect profiles value AnyConnect_MGMT_Profile type vpn-mgmt

Verificación

Verifique la conexión del túnel de la Administración VPN en ASA CLI con este anyconnect deldetalle de VPN-sessiondb del comando show 

ASA# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : vpnuser Index : 10

Assigned IP : 192.168.10.1 Public IP : 10.65.84.175

Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel

License : AnyConnect Premium

Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-

256

Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384

Bytes Tx : 17238 Bytes Rx : 1988

Pkts Tx : 12 Pkts Rx : 13

Pkts Tx Drop : 0 Pkts Rx Drop : 0

Group Policy : AnyConnect_MGMT_Tunnel Tunnel Group : AnyConnect_MGMT_Tunnel

Login Time : 01:23:55 UTC Tue Apr 14 2020

Duration : 0h:11m:36s

Inactivity : 0h:00m:00s

VLAN Mapping : N/A VLAN : none

Audt Sess ID : c0a801010000a0005e9510ab

Security Grp : none

AnyConnect-Parent Tunnels: 1

SSL-Tunnel Tunnels: 1

DTLS-Tunnel Tunnels: 1

--- Output Omitted ---

DTLS-Tunnel:

Tunnel ID : 10.3

Assigned IP : 192.168.10.1 Public IP : 10.65.84.175

Encryption : AES-GCM-256 Hashing : SHA384

Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384

Encapsulation: DTLSv1.2 UDP Src Port : 57053

UDP Dst Port : 443 Auth Mode : Certificate

Idle Time Out: 30 Minutes Idle TO Left : 18 Minutes

Client OS : Windows

Client Type : DTLS VPN Client

Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03036

Bytes Tx : 17238 Bytes Rx : 1988

Pkts Tx : 12 Pkts Rx : 13

Pkts Tx Drop : 0 Pkts Rx Drop : 0

Verifique la conexión del túnel de la Administración VPN en ASDM

Navegue a vigilar > VPN > las estadísticas > las sesiones VPN. Filtre por el cliente deAnyConnect para ver a la sesión de cliente.

Verificación de la conexión del túnel de la Administración VPN en la máquina del cliente

Troubleshooting

La nueva línea de las estadísticas UI (estado de la Conexión de Administración) se puede utilizarpara resolver problemas los problemas de la Conectividad del túnel de la Administración. Lossiguientes son comúnmente estados de error de la escena:

Disconnected (inhabilitado):

Se inhabilita la característica.●

Asegúrese de que el perfil de la Administración VPN fuera desplegado al cliente, vía laconexión del túnel del usuario (requiere agregar el perfil de la Administración VPN a ladirectiva del grupo de túnel del usuario) o fuera de la banda con la carga por teletratamientomanual del perfil.

●

Asegúrese de que el perfil de la Administración VPN esté configurado con una entrada delsolo host que incluya a un grupo de túnel.

●

Disconnected (red de confianza):

El TND detectó una red de confianza así que el túnel de la Administración no se establece.●

Disconnected (active del túnel del usuario):

Un túnel del usuario VPN es actualmente - active.●

Disconnected (lanzamiento de proceso fallado):

Encontraron a un error de proceso del lanzamiento sobre intentar la conexión del túnel de laAdministración.

●

Disconnected (conecte fallado):

 Encontraron a un error de la conexión sobre el establecimiento del túnel de laAdministración.

●

Asegúrese de que la autenticación del certificado está configurado en el grupo de túnel, nohay banner presente en la directiva del grupo, el certificado de servidor debe ser confiado en.

●

Disconnected (configuración VPN inválida):

Una configuración inválida del Túnel dividido fue recibida del servidor VPN.●

Controle la configuración del Túnel dividido en la directiva del grupo de túnel de laAdministración.

●

Disconnected (actualización de software pendiente):

Una actualización de software de AnyConnect está actualmente pendiente.●

Disconnected:

El túnel de la Administración está a punto de ser establecido o no se podría establecer poruna cierta otra razón.

●

Recoja el DARDO para el troubleshooting adicional.

Información Relacionada

Configuración del túnel de la Administración VPN●

Resolver problemas el túnel de la Administración VPN●