PIX/ASA 7.x para soportar el IPSec sobre el TCP en cualquier ejemplo de la configuración del puerto

Transcripción

1 PIX/ASA 7.x para soportar el IPSec sobre el TCP en cualquier ejemplo de la configuración del puerto Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Productos Relacionados Convenciones Configurar Diagrama de la red Configuraciones Verificación Verifique la configuración PIX 7.x Verifique la configuración de Cliente de hardware Cisco VPN 3002 Troubleshooting Puerto IKE para el IPSec UDP reservado ya en la interfaz afuera Comandos para resolución de problemas Información Relacionada Introducción Este documento describe cómo configurar sesiones VPN de acceso remoto entre un firewall PIX y clientes de hardware VPN. Esta configuración de muestra ilustra una configuración para IPSec sobre TCP en cualquier puerto. Esta característica se introduce en la versión de PIX 7.x. El comando port de IPSec-sobre-TCP del isakmp permite al PIX para conectar con un software de Cisco VPN y un hardware cliente en cualquier puerto para el IPSec sobre el TCP. Refiera al VPN 3002 Hardware Client al ejemplo de configuración PIX 6.x para aprender un escenario más casi igual donde el dispositivo de seguridad PIX funciona con la versión de software 6.x. prerrequisitos Requisitos Asegúrese de cumplir estos requisitos antes de intentar esta configuración: Las necesidades del firewall PIX de ejecutar versión del código 7.0 o más adelante. Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Versión del PIX 515 Cliente de hardware Cisco VPN La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Productos Relacionados Este documento se puede también utilizar con el dispositivo de seguridad adaptante de las Cisco 5500 Series (ASA) esa versión de software 7.0 de los funcionamientos y posterior. Convenciones

2 Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos. Configurar En esta sección encontrará la información para configurar las funciones descritas en este documento. Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección. Diagrama de la red En este documento, se utiliza esta configuración de red: Configuraciones En este documento, se utilizan estas configuraciones: PIX 7.x VPN 3002 Hardware Client de Cisco PIX 7.x PIX Version 7.0(4) hostname pix enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 speed 10 nameif outside security-level 0 ip address interface Ethernet1 nameif inside security-level 100 ip address passwd 2KFQnbNIdI.2KYOU encrypted access-list nonat extended permit ip any access-list outside extended permit icmp any any access-list OUT extended permit ip any any nat (inside) 0 access-list nonat access-group OUT in interface outside route outside Output is suppressed. group-policy DfltGrpPolicy attributes banner none

3 wins-server none dns-server none dhcp-network-scope none vpn-access-hours none vpn-simultaneous-logins 3 vpn-idle-timeout 30 vpn-session-timeout none vpn-filter none vpn-tunnel-protocol IPSec --- This specifies the VPN protocol used by this group. --- The two options are IPsec and WebVPN. IPsec is configured for this example. password-storage enable --- This allows the users to store passwords on VPN Client devices. --- Password storage is disabled by default for security reasons. --- Enable password storage only on systems that you know to be in secure sites. ip-comp disable re-xauth disable group-lock none pfs disable ipsec-udp disable ipsec-udp-port split-tunnel-policy tunnelall split-tunnel-network-list none default-domain none split-dns none secure-unit-authentication disable user-authentication disable user-authentication-idle-timeout 30 ip-phone-bypass disable leap-bypass disable nem enable --- Enter the nem command with the enable keyword in --- group-policy configuration mode to enable network --- extension mode for hardware clients. --- This is disabled by default. backup-servers keep-client-config client-firewall none client-access-rule none --- Refer to Group Policies for more information. crypto ipsec transform-set my-set esp-3des esp-md5-hmac crypto dynamic-map dyn_outside 20 set transform-set my-set crypto map mymap 20 ipsec-isakmp dynamic dyn_outside crypto map mymap interface outside --- These are the IPsec parameters that are --- negotiated with the client. In this example, dynamic maps are --- used since the client IP address is not known. isakmp enable outside isakmp policy 1 authentication pre-share isakmp policy 1 encryption 3des isakmp policy 1 hash md5 isakmp policy 1 group 2 isakmp policy 1 lifetime These are the Phase 1 parameters negotiated by the two peers. isakmp ipsec-over-tcp port Use the isakmp ipsec-over-tcp command --- in global configuration mode to enable IPsec over TCP. tunnel-group DefaultRAGroup general-attributes --- A tunnel group consists of a set of records that --- contain tunnel connection policies. The two attributes --- are General and IPsec. authentication-server-group none tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * : end VPN 3002 Hardware Client de Cisco

4 Complete estos pasos: 1. Seleccione el Configuration (Configuración) > Interfaces (Interfaces) para configurar la dirección IP para ambas interfaces. En este ejemplo la interfaz pública tiene un direccionamiento dinámicamente asignado: 2. Seleccione el Configuration (Configuración) > System (Sistema) > Tunneling Protocols (Protocolos de tunelización) > IPSec para configurar los parámetros relevantes al túnel IPsec. Aseegurese le seleccionar el IPSec sobre el TCP y configurar el número del mismo puerto similar al que está configurado en el PIX. Este ejemplo utiliza el puerto El nombre del grupo del túnel y de la contraseña también se configura en este ejemplo. Esto se requiere solamente en el caso de las claves previamente compartidas, esto no se requiere si usted utiliza los Certificados. El nombre del grupo es DefaultRAGroup en este ejemplo. 3. Inhabilite la PALMADITA para configurar el túnel IPsec en el Modo de ampliación de la red (NEM). Seleccione el Configuration (Configuración) > Policy Management (Administración de políticas) > Traffic Management (Administración de tráfico) > la PALMADITA > el permiso. El NEM permite que los hardwares cliente presenten un solo, red enrutable a la red privada remota sobre el túnel VPN. El IPSec encapsula todo el tráfico de la red privada detrás del hardware cliente a las redes detrás del dispositivo de seguridad.

5 Verificación Use esta sección para confirmar que su configuración funciona correctamente. Verifique la configuración PIX 7.x La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show. show crypto isakmp sa : muestra todas las asociaciones de seguridad actuales IKE (SA) en un par. AM_ACTIVE el estado denota que utilizaron al modo agresivo para configurar el túnel del IPSec VPN. pix#show crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: Type : user Role : responder Rekey : no State : AM_ACTIVE show crypto ipsec sa Muestra la configuración actual utilizada por las SA actuales Verifique la dirección IP par, las redes accesibles en los extremos remotos y locales y la transformación fijada que se utiliza. Hay dos ESP SA, uno en cada dirección. pix#show crypto ipsec sa interface: outside Crypto map tag: dyn_outside, seq num: 20, local addr: local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: , username: DefaultRAGroup dynamic allocated peer ip: #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: local crypto endpt.: /10000, remote crypto endpt.: /19 path mtu 1500, ipsec overhead 96, media mtu 1500 current outbound spi: 3B091B02 inbound esp sas: spi: 0x4B73C095 ( ) sa timing: remaining key lifetime (sec): outbound esp sas: spi: 0x3B091B02 ( ) sa timing: remaining key lifetime (sec): Crypto map tag: dyn_outside, seq num: 20, local addr: local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: , username: DefaultRAGroup dynamic allocated peer ip: #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 15, #pkts decrypt: 15, #pkts verify: 15 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: local crypto endpt.: /10000, remote crypto endpt.: /19 path mtu 1500, ipsec overhead 96, media mtu 1500 current outbound spi: 02E893BC

6 inbound esp sas: spi: 0x ( ) sa timing: remaining key lifetime (sec): outbound esp sas: spi: 0x02E893BC ( ) sa timing: remaining key lifetime (sec): muestre el stat crypto de IPSec-sobre-TCP del isakmp Utilice este comando de marcar el IPSec sobre los parámetros TCP. pix#show crypto isakmp ipsec-over-tcp stat Global IPSec over TCP Statistics Embryonic connections: 0 Active connections: 1 Previous connections: 80 Inbound packets: 803 Inbound dropped packets: 0 Outbound packets: 540 Outbound dropped packets: 0 RST packets: 87 Recevied ACK heart-beat packets: 7 Bad headers: 0 Bad trailers: 0 Timer failures: 0 Checksum errors: 0 Internal errors: 0 Verifique la configuración de Cliente de hardware Cisco VPN 3002 Seleccione el Monitoring (Monitoreo) > Statistics (Estadísticas) > IPSec para verificar si el túnel ha subido en el Cliente de hardware Cisco VPN Esta ventana muestra las estadísticas para el IKE y los parámetros de IPSec: Troubleshooting En esta sección encontrará información que puede utilizar para solucionar problemas de configuración. Puerto IKE para el IPSec UDP reservado ya en la interfaz afuera

7 Recibió el %ASA : Puerto IKE para el IPSec UDP reservado ya en la interfaz fuera del mensaje del registro. Solución Éste es un mensaje de información que puede ser ignorado con seguridad. Este mensaje de información se utiliza para no perder de vista los eventos que han ocurrido. Para más información con respecto a este mensaje, refiera a Comandos para resolución de problemas La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show. Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug. Los comandos debug en el PIX para los túneles VPN: debug crypto isakmp sa Negociaciones ISAKMP SA de los debugs. debug crypto ipsec sa Negociaciones IPSec SA de los debugs. Información Relacionada Solicitudes de Comentarios (RFC) Ejemplos de Configuración y Lista de Notas Técnicas Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 17 Octubre