Configurazione della VPN SSL con Cisco AnyConnect su ASA5505

There is a mobile optimized version of this page, view AMP Version.

Una Virtual Private Network o VPN è una rete privata sicura instaurata tra la sede e soggetti che utilizzano un sistema di trasmissione pubblico e condiviso, come Internet. Con l’aumento costante di client mobili e la disponibilità di connessione sempre più capillare, è necessario implementare una soluzione con ampia compatibilità e soprattutto di facile utilizzo da parte degli utenti.

imageCisco AnyConnect è una feauture messa a disposizione dai firewall “ASA Security Appliance”, che sfruttando la tecnologia SSL mette in sicurezza le comunicazioni ed offre un deploy semplificato basato su pagina web HTTPS. Il client è disponibile per la maggior parte delle piattaforme, consentendoci un collegamento non solo con il computer, ma anche con tablet e smartphone.

Come requisito di questo tutorial, dobbiamo avere un firewall ASA configurato e funzionante per le proprie funzioni di base, noi andremo ad implementare la soluzione VPN SSL Anyconnect con SPLIT-TUNNEL. In questo modo i client remoti saranno in grado di collegarsi alla rete aziendale, senza perdere la possibilità di navigare attraverso il proprio povider.

Prenderemo questo semplice schema di rete come esempio:

image

Dopo aver effettuato la prima configurazione dell’ASA, andiamo ad abilitare il protocollo webvpn sull’interfaccia outside ed indichiamo almeno un pacchetto da distribuire per l’installazione del client. 

asa5505(config)#Webvpn

asa5505(config-webvpn)#svc image disk0:/anyconnect-win-2.5.2014-k9.pkg

asa5505(config-webvpn)# enable outside

asa5505(config-webvpn)# svc enable

asa5505(config-webvpn)# exit

clip_image002

Creiamo un nuovo pool di indirizzi da assegnare ai client remoti.

asa5505(config)#ip local pool SSLClientPool 192.168.100.50-192.168.100.100 mask 255.255.255.0

Permettiamo il traffico tra le due reti con una ACL.

asa5505(config)#access-list NONAT extended permit ip 10.11.100.0 255.255.255.0 192.168.100.0 255.255.255.0

Creo due oggetti per gli host Lan e per il Pool, poi escludo il nat tra le due reti.

asa5505(config)# object network SSL_subnet

asa5505(config-network-object)# subnet 192.168.100.0 255.255.255.0

asa5505(config-network-object)# exit

asa5505(config)# object network Lan_subnet

asa5505(config-network-object)# subnet 10.11.100.0 255.255.255.0

asa5505(config-network-object)# exit

asa5505(config)# nat (inside,outside) source static Lan_subnet Lan_subnet destination static SSL_subnet SSL_subnet

Definiamo almeno un utente ed assegniamo il servizio remote-access

asa5505(config)#username userA password test123

asa5505(config)#username userA attributes

asa5505(config-username)# service-type remote-access

Creiamo una ACL per identificare il traffico dello split tunnel

asa5505(config)#access-list split-tunnel standard permit 10.11.100.0 255.255.255.0

Creiamo la policy per i client, assegniamo vari attributi, compreso il dns interno della rete.

asa5505(config)#group-policy SSLCLientPolicy internal

asa5505(config)#group-policy SSLCLientPolicy attributes

asa5505(config-group-policy)# dns-server value 192.168.1.100

asa5505(config-group-policy)# vpn-tunnel-protocol svc webvpn

asa5505(config-group-policy)# address-pools value SSLClientPool

asa5505(config-group-policy)# split-tunnel-policy tunnelspecified

sa5505(config-group-policy)# split-tunnel-network-list value split-tunnel

(config-group-policy)# webvpn

(config-group-webvpn)# svc keep-installer installed

(config-group-webvpn)# svc rekey time 30

(config-group-webvpn)# svc rekey method ssl

(config-group-webvpn)# svc ask enable default svc timeout 20

(config-group-webvpn)# exit

(config-group-policy)# exit

(config)# sysopt connection permit-vpn

Definiamo un nuovo profilo per lo split-tunnel ed abilitiamolo.

asa5505(config)#tunnel-group SSLClientProfile type remote-access

asa5505(config)#tunnel-group SSLClientProfile general-attributes

(config-tunnel-general)# default-group-policy SSLCLientPolicy

(config-tunnel-general)# tunnel-group SSLClientProfile webvpn-attributes

(config-tunnel-webvpn)# group-alias SSL_VPN_Client enable

(config-tunnel-webvpn)# webvpn

(config-webvpn)# tunnel-group-list enable

(config-webvpn)# exit

La configurazione dell’ASA è terminata, possiamo puntare con il browser all’indirizzo dell’interfaccia outside per avere il form di login.

clip_image004 

clip_image006

Per vedere le sessioni attualmente instaurate, possiamo eseguire questo comando:

asa5505#show vpn-sessiondb

Mentre per disconnettere una o più sessioni possiamo utilizzare:

asa5505#vpn-sessiondb logoff [all | IP]

Share

9 pensieri su “Configurazione della VPN SSL con Cisco AnyConnect su ASA5505

  1. Ciao,
    premesso che è il primo firewall della mia vita, grazie alla tua guida sono riuscito nell’intento di configurare il Cisco ASA 5505, ma anche se adesso nelle connessioni di rete del computer remoto trovo una “Connessione alla rete (LAN) 3” che prima non c’era, la stessa risulta disabilitata; ho provato ad abilitarla, ma di fatto non si connette alla VPN.
    Se non ho commesso errori, nelle righe di configurazione del cisco, non è mai presente l’indirizzo pubblico della rete alla quale connettersi, quindi mi chiedo come possa questa nuova connessione puntare a tale indirizzo e ricevere i dati della connessione (ip address ecc.)
    Dove avrò sbagliato e come posso scoprirlo?
    Grazie

    • Per l’indirizzo pubblico, te hai un enable outside quindi prende l’ip dell’outside.
      Te sul client, devi installare l’anyconnect che ti crea una nic virtuale, poi però devi lanciare l’anyconnect e lui pensa ad abilitarla.
      Ciao
      Luca

        • Scusami di nuovo se approfitto della tua competenza, ma pensavo di aver risolto ed invece mi trovo di fronte ad un altro ostacolo; sono riuscito con la tua configurazione a collegare un pc da un’altra rete, ma non riesco a collegare gli altri, ricevo 2 messaggi diversi “Unable to VPN connection” oppure “Login failed”. Questi computer si trovano nella medesima rete del primo e, come unica differenza hanno win10 invece che win7. Ho anche provato a creare altri utenti per l’accesso, ma niente.
          Help me, please!

      • Scusami, ho un altro problema, non riesco a connettere la VPN da più computer, nemmeno creando user multipli; mi fa connettere solo uno alla volta

        • ciao, mi viene da pensare che con la tua licenza hai un numero limitato di sessioni anyconnect.
          se fai uno show ver, dovrebbe dirti quante connessioni simultanee hai licenziate.
          con Show vpn-sessiondb webvpn vedi quante sessioni hai attive
          con vpn-sessiondb logoff name nomeutente chiudi una sessione

          ciao
          Luca

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *