Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Concentrador VPN para el WebVPN usando el ejemplo de

Anuncio 
Concentrador VPN para el WebVPN usando el ejemplo de
configuración del cliente VPN SSL
Contenido
Introducción
prerrequisitos
Requisitos
Componentes Utilizados
Convenciones
Configurar
Diagrama de la red
Configuración
Configuración para inhabilitar la advertencia del certificado
Verificación
Troubleshooting
Manejo del concentrador de la red pública
La autenticación del WebVPN falla
Información Relacionada
Introducción
Este documento proporciona una configuración de muestra sobre cómo configurar un túnel WebVPN entre un túnel Cisco SSL VPN Client
(SVC) y el Cisco VPN 3000 Concentrator que utiliza las bases de datos internas para la autenticación. Cisco SSL VPN Client soporta
aplicaciones y funciones que no están disponibles para una conexión WebVPN estándar.
El WebVPN proporciona la Conectividad del acceso remoto del Secure Socket Layer (SSL) VPN de casi cualquier ubicación Internet-habilitada
que utilice solamente un buscador Web y su encripción de SSL nativa. Esto permite a las compañías para ampliar su asegura las redes para
empresas a cualquier usuario autorizado proporcionando a la Conectividad del Acceso Remoto a los recursos corporativos de cualquier ubicación
Internet-habilitada.
prerrequisitos
Requisitos
Asegúrese de cumplir estos requisitos antes de intentar esta configuración:
Para utilizar la versión de cliente VPN SSL 1.0.2, usted debe actualizar el concentrador VPN para liberar 4.7.2 o más adelante. La versión
de cliente VPN SSL 1.0.2 no actúa con el concentrador VPN que funciona con las versiones anterior de 4.7.2.
El cliente VPN SSL trabaja solamente con el Microsoft Windows XP o el Windows 2000.
Refiérase usando la interfaz de la línea de comandos para la configuración rápida para una idea básica en cómo utilizar la interfaz de línea
del comando vpn concentrator (CLI).
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Versión 4.7.2.B VPN 3015, y versión 1.0.2.127 de SVC
Windows 2000 PC usando el Internet Explorer 6.0 SP1
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos
que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando,
asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Configurar
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Diagrama de la red
En este documento, se utiliza esta configuración de red:
Configuración
Los concentradores VPN no se preprograman con los IP Addresses en sus configuraciones de fábrica. Usted tiene que utilizar el puerto de la
consola para configurar las configuraciones iniciales que son un CLI con un menú. Refiera a configurar los concentradores VPN a través de la
consola para la información sobre cómo configurar a través de la consola.
Después de que usted configure la dirección IP en la interfaz del Ethernet1 (soldado), el resto se puede configurar o con el CLI o vía la interfaz
del buscador. La interfaz del buscador soporta el HTTP y el HTTP sobre el Secure Socket Layer (SSL).
Complete estos pasos:
1. Teclee la dirección IP de la interfaz privada del buscador Web para habilitar la interfaz GUI.
El nombre de usuario y contraseña del valor predeterminado de fábrica es el admin que es con diferenciación entre mayúsculas y
minúsculas.
2. Una vez que le abren una sesión como administrador, comience a instalar el software cliente VPN SSL al concentrador VPN.
Se requiere este paso solamente cuando usted actualiza un concentrador VPN de una más vieja versión a 4.7. Elija la configuración > el
Tunelización y la Seguridad > el WebVPN > al Cliente Cisco SSL VPN para instalar al cliente VPN SSL.
Nota: Nuevos concentradores VPN que ejecutan versión 4.7 o más adelante venidos cargado con el cliente VPN SSL. Por abandono,
inhabilitan al cliente VPN SSL y usted necesidad de habilitarla. Esto se explica en el paso 4.
Nota: El software del cliente VPN y del concentrador VPN SSL se puede obtener de la página de la descarga de software de Cisco
(clientes registrados solamente).
3. Haga clic en el link proporcionado en la ventana de confirmación para continuar habilitando al cliente VPN SSL en el concentrador VPN.
4. Seleccione el permiso el Cliente Cisco SSL VPN y el tecleo se aplica.
Esto habilita al cliente VPN SSL en el concentrador VPN. Si su concentrador VPN fue cargado con el cliente VPN SSL, vaya directamente
a la configuración > al Tunelización y a la Seguridad > al WebVPN > al Cliente Cisco SSL VPN y habilite al cliente VPN SSL.
5. Elija el Configuration (Configuración) > User Management (Administración del usuario) >Groups (Grupos) > Add (Agregar) para
configurar a un grupo para el cliente VPN SSL.
Si usted utiliza una autenticación externa tal como el servidor ACS de Cisco, seleccione el externo en el campo del tipo. Ingrese un
nombre del grupo y una contraseña asociada en esta ventana.
Este ejemplo utiliza el nombre “sslgroup” para el grupo. Las bases de datos internas (en el concentrador VPN) también se utilizan para
autenticar a los usuarios de cliente VPN SSL.
Nota: Para configurar el Cisco VPN 3000 Concentrator para la autenticación de RADIUS, refiera a configurar el Cisco VPN 3000
Concentrator con MS RADIUS.
6. Seleccione la lengueta del WebVPN en la misma ventana para habilitar al cliente VPN SSL para el sslgroup del nombre del grupo.
Seleccione la opción necesaria.
La opción de la frecuencia de keepalive del Cliente Cisco SSL VPN se necesita para asegurarse solamente de que una conexión de
cliente VPN SSL a través de un proxy, de un Firewall, o de un dispositivo NAT siga siendo abierta, incluso si el dispositivo limita el
tiempo que la conexión puede estar ociosa.
La opción del Cliente Cisco SSL VPN de la custodia se asegura de que el cliente VPN SSL esté instalado siempre en PC del cliente. Si
esta opción no se selecciona, el cliente VPN SSL necesita ser instalado cada vez que usted quiere un túnel del WebVPN del PC del cliente.
7. Elija el Configuration (Configuración) > User Management (Administración del usuario) > Users (Usuarios) > Add (Agregar) para
configurar los credenciales de usuario de un cliente VPN SSL.
Usted puede también asignar un IP Address estático a los usuarios a través de esta ventana.
En este ejemplo, el Nombre de usuario es prueba. Agregan a este usuario al sslgroup del grupo. Los IP Addresses también se asignan con la
configuración de un pool de los IP Addresses.
8. Elija el Configuration (Configuración) > System (Sistema) > Address Management (Administración de direcciones) > Assigment
(Asignación) y marque la opción necesaria como se muestra y el tecleo se aplica para configurar el método de asignación de la dirección
IP.
9. Elija el Configuration (Configuración) > System (Sistema) > Address Management (Administración de direcciones) > Pools
(Agrupaciones) > Add (Agregar) para configurar un pool asociado de la dirección IP.
En este ejemplo, usted configura un alcance del IP Address que sea una parte de la misma subred de la red corporativa.
10. Elija el configuration > system > ip routing > default gateway para asegurarse de que usted hace todas las rutas necesario y default
gatewayes configurar correctamente.
La interfaz que termina al cliente VPN SSL necesita tener un certificado SSL asociado a ella.
11. Elija el Administration (Administración) > Certificate Management (Administración de certificados) para confirmar que los
Certificados SSL están generados para las interfaces.
Si los Certificados no se generan usted puede generarlos cuando usted elige genera. Ésta es acciones inferiores disponibles de una opción
en el cuadro de los Certificados SSL para la interfaz respectiva.
12. Elija el Configuration (Configuración) > Interfaces (Interfaces) y seleccione la interfaz respectiva para permitir específicamente a las
sesiones HTTP en la interfaz que termina al cliente VPN SSL.
13. Vaya a la lengueta del WebVPN y el control permite a las Sesiones WebVPN HTTPS.
En este ejemplo, usted está terminando al cliente VPN SSL en la interfaz pública del concentrador VPN.
Configuración para inhabilitar la advertencia del certificado
Cuando usted genera el certificado SSL en el concentrador VPN, utilice siempre una dirección IP o un nombre DNS de la interfaz. Pero, si usted
teclea el algo más que no hace juego sus entradas cuando usted abre al navegador para conectar el SSL, usted recibe los mensajes de las
advertencias de seguridad tales como errores de la discordancía del nombre de host. Usted debe teclear lo que usted utilizó
previamente cuando el certificado fue generado.
Usted puede elegir el Administration (Administración) > Certificate Management (Administración de certificados), y borra y genera el
certificado SSL para reparar este problema.
Cuando usted elige genere, usted consiguen el Administration (Administración) > Certificate Management (Administración de
certificados) > generan el certificado SSL. En esta ventana, usted puede generar el certificado SSL para la interfaz a donde usted conecta. En el
campo del Common Name (CN), usted necesita llenar este espacio de una dirección IP o del nombre DNS de la interfaz, que debe ser similar a
lo que usted tecleó en el navegador para hacer que la conexión del cliente SSL evita el mensaje de error de la discordancía.
Pero, aunque usted hace esto, una ventana aparece dejarle conocer estos mensajes:
La fecha del Security Certificate es válida.
El Security Certificate tiene un nombre válido que haga juego el nombre de la página que usted intenta ver.
Estos mensajes tienen la marca verde, pero la marca amarilla indica que el certificado todavía no está salvado conforme a los certificados
confiables del almacén de certificados IE.
Haga clic el tercer botón del cuadro del certificado de la visión para salvar el certificado y recibir no más este mensaje de error. Elija instalan el
certificado en el Asisitente y hacen clic después. Entonces, elija el lugar todos los Certificados en el almacén siguiente y el tecleo hojea.
Finalmente, elija la carpeta de los Trusted Root Certification Authority y haga clic después. Elija el final y sí en la ventana de advertencia
final. Usted debe recibir otro mensaje que diga que la importación era acertada.
Nota: Éste es un proceso que usted necesita hacer en cada ordenador que utilice la conexión del cliente SSL, porque cada ordenador necesita
salvar el certificado bajo su propio almacenamiento del certificado.
Verificación
Complete estos pasos para confirmar que su configuración trabaja correctamente.
1. Abra al buscador Web en PC del cliente que va a conectar con el concentrador VPN y a ingresar https://concentrator_ip_address.
2. En el prompt de inicio de sesión, ingrese los credenciales de usuario que usted creó anterior y selecciona el login.
En este ejemplo, teclee https://172.16.5.100, ingrese la prueba del nombre de usuario, y su contraseña asociada que usted creó anterior.
Esto comienza la descarga del cliente VPN SSL encendido al PC del cliente.
3. Cuando usted recibe la advertencia del certificado, usted puede seleccionar sí o ver el certificado.
Refiera al certificado de la visión en cómo proceder con esta opción.
En este ejemplo, se selecciona sí en las advertencias del certificado.
4. Haga clic sí cuando le indican con una alerta que estado que el emisor del certificado es desconocido o untrusted.
5. Haga clic sí para visualizar la información del certificado.
6. Haga Click en OK en la ventana del Certification Authentication para instalar el certificado como certificado confiable.
Haga clic sí cuando le indican con una advertencia del certificado en la próxima ventana.
Una vez que usted hace clic sí, el cliente VPN SSL está instalado en PC del cliente. La conexión WebVPN se automatiza también. Una vez
que se establece el túnel, usted puede ver el icono dominante en la barra de tareas de Windows.
7. Haga clic con el botón derecho del ratón el icono dominante y el estatus selecto para ver las propiedades de conexión WebVPN en el
cliente VPN SSL.
En este ejemplo asignan el cliente VPN SSL una dirección IP de 10.10.1.2 que es parte del pool de la dirección IP que usted definió.
Troubleshooting
Complete estos pasos para resolver problemas su configuración. En el concentrador VPN usted puede permitir a las clases de evento para
registrar los eventos. Esto le ayuda a resolver problemas si no sube su túnel SSL VPN.
1. Elija el Configuration (Configuración) > System (Sistema) > Event (Eventos) > Classes (Clases) > Add (Agregar) para habilitar todas
las clases de evento relevantes.
En este ejemplo usted necesita habilitar el auth de las clases, el SSL, la STC, y el WebVPN.
Nota: Cuando usted habilita las clases de evento y los niveles de gravedad del conjunto, esto afecta el funcionamiento del concentrador
VPN. Hágale una punta para inhabilitar una vez que usted ha acabado de localizar averías su problema.
2. Habilite semejantemente el resto de clases de evento.
3. Elija la orden del login de la supervisión > del Filterable Event (Evento filtrable) para monitorear las alarmas habilitadas y el tecleo
consigue el registro ver los registros de acontecimientos.
El registro se visualiza en un formato de archivo de texto. Usted puede salvar el registro con la opción del registro de la salvaguardia.
Log of SSL VPN Client when connecting
1 10/18/2005 13:27:32.270 SEV=4 AUTH/22 RPT=3 172.16.1.1
User [test] Group [sslgroup] connected, Session Type: WebVPN
2 10/18/2005 13:27:32.270 SEV=5 WEBVPN/1 RPT=13 172.16.1.1
Group [sslgroup] User [test]
WebVPN session started.
Log of a SSL VPN Client issuing a disconnect
3 10/18/2005 13:28:26.240 SEV=4 AUTH/28 RPT=3 172.16.1.1
User [test] Group [sslgroup] disconnected:
Session Type: SSL VPN Client
Duration: 0:00:53
Bytes xmt: 244
Bytes rcv: 7083
Reason: User Requested
4 10/18/2005 13:28:26.240 SEV=5 WEBVPN/2 RPT=13 172.16.1.1
Group [sslgroup] User [test]
WebVPN session terminated; User Requested.
Si usted encuentra la razón: mún error del tipo del apretón de manos, podría ser debido a un problema con el certificado
expirado SSL en una o más interfaces del concentrador VPN. La solución alternativa es borrar el certificado vencido y regenerar un nuevo
para la interfaz particular. Elija el Administration (Administración) > Certificate Management (Administración de certificados) y el
tecleo genera para renovar el certificado. Refiera a obtener los Certificados SSL para más información sobre cómo generar un nuevo
certificado.
Manejo del concentrador de la red pública
Con la utilización de la funcionalidad SSL VPN, el acceso HTTP/HTTPS a la interfaz pública se convirtió en una necesidad. La configuración
predeterminada sin embargo, es permitir el acceso SSL VPN mientras que rechaza el Acceso de administración a la misma interfaz pública.
Utilice este procedimiento para configurar el concentrador VPN de modo que usted pueda manejarlo de la red pública para las versiones 4.1 y
posterior.
1. El Configuration (Configuración) > Interfaces (Interfaces) > Ethernet selecto 2 (público), entonces elige la lengueta del WebVPN.
2. Marque la casilla de verificación de las sesiones HTTPS de administración de la permit.
3. Marque la reorientación HTTP a casilla de verificación HTTPS para la seguridad mejorada.
4. Haga clic el botón Apply Button y salve la configuración.
Nota: Esta determinación del checkbox reemplaza las reglas que el Filtro público define (o cualquier filtro se aplica a la interfaz pública).
Usted no necesita agregar las reglas a los filtros en el código soportado WebVPN.
Para acceder la pantalla de la Administración de la interfaz pública, el URL ahora se convierte en [s] HTTP: IP Address público
>/admin.html //<concentrator.
La autenticación del WebVPN falla
Problema: Los usuarios de WebVPN no pueden autenticar contra el servidor de RADIUS, sino pueden autenticar con éxito con las bases
de datos locales del concentrador VPN. Los errores tales como login fallaron y el mensaje en esta captura de pantalla del ejemplo se
considera.
Causa: Estas clases de problemas suceden muy a menudo cuando usted utiliza cualquier base de datos con excepción de las bases de datos
internas del concentrador VPN. Los usuarios de WebVPN golpean al grupo base cuando primero conectan con el concentrador VPN y por
lo tanto deben utilizar el método de autenticación predeterminada. Este método se fija a menudo a las bases de datos internas del
concentrador VPN y no del RADIUS configurado o del otro servidor.
Solución: Cuando un usuario de WebVPN autentica, el concentrador VPN marca la lista de servidores definida en el >System > los
servidores > la autenticación de la configuración y utiliza el superior. Aseegurese para mover el servidor que usted quisiera que los
usuarios de WebVPN autenticaran con al top de esta lista. Por ejemplo, si el RADIUS es el método de autentificación, usted necesita mover
al servidor de RADIUS al top de la lista para avanzar la autenticación a ella.
Nota: Apenas porque los usuarios de WebVPN golpean inicialmente el grupo base no significa que los confinan al grupo base. Los grupos
adicionales del WebVPN pueden ser configurados en el concentrador VPN y los usuarios pueden ser asignadoles por el servidor de
RADIUS poblando el atributo 25 con OU=groupname. Refiera a bloquear a los usuarios en un VPN 3000 concentrator group usando un
servidor de RADIUS para una más explicación detallada.
Información Relacionada
Ejemplos de Configuración y Lista de Notas Técnicas
© 1992-2015 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 13 Agosto 2015
http://www.cisco.com/cisco/web/support/LA/102/1029/1029964_vpncon-webvpn-ssl-client.html
Documentos relacionados
RESUMEN El objetivo general de la presente tesis es verificar la
RESUMEN El objetivo general de la presente tesis es verificar la
Conexión VPN en Windows Vista
Conexión VPN en Windows Vista
VPN - Viatec
VPN - Viatec
MANUAL USO VPN Paso 1. Ejecutar la aplicación VPN en la
MANUAL USO VPN Paso 1. Ejecutar la aplicación VPN en la
CENTROS DE DISTRIBUCIÓN, ALMACENAMIENTO Y MANEJO DE
CENTROS DE DISTRIBUCIÓN, ALMACENAMIENTO Y MANEJO DE
Conexiones VPN (UNICAN & BUC)
Conexiones VPN (UNICAN & BUC)
Actividad de clase: Diseño de la planificación de VPN
Actividad de clase: Diseño de la planificación de VPN
¿Qué es una VPN? ¿Que ventajas ofrece? ¿Como funciona? ¿Por
¿Qué es una VPN? ¿Que ventajas ofrece? ¿Como funciona? ¿Por
Seguridad de dispositivos móviles: Cómo convertirse en un
Seguridad de dispositivos móviles: Cómo convertirse en un
Descargar
Anuncio
Anuncio