Você está na página 1de 22

Cliente VPN e acesso do cliente de AnyConnect ao exemplo de

configuração do LAN local

Atualizado: 25 de Agosto de 2016 ID do documento: 70847

Índice

Introdução

Pré­requisitos

Requisitos

Componentes Utilizados

Diagrama de Rede

Informações de Apoio

Configurar o acesso do LAN local para clientes VPN ou o cliente seguro da mobilidade de
AnyConnect

Configurar o ASA através do ASDM

Configurar o ASA através do CLI

Configurar o Cisco VPN Client

Configurar o Cliente de mobilidade Cisco AnyConnect Secure

Preferências de usuário

Exemplo do perfil XML

Verificar

Conecte com o cliente VPN ou o cliente seguro da mobilidade

Veja o log de cliente VPN ou o DARDO para o cliente seguro da mobilidade

Cliente de mobilidade Cisco AnyConnect Secure
Teste o acesso do LAN local com sibilo

Troubleshooting

Incapaz de imprimir por nome ou consultar

Informações Relacionadas

Introdução
Este documento descreve como permitir que o Cisco VPN Client ou o Cliente de mobilidade Cisco
AnyConnect Secure alcancem somente seu LAN local quando escavado um túnel no 5500 Series
adaptável de uma ferramenta de segurança de Cisco (ASA) ou no 5500­X Series ASA. Esta configuração
permite Cisco VPN Client ou o acesso seguro do Cliente de mobilidade Cisco AnyConnect Secure aos
recursos corporativos através do IPsec, do secure sockets layer (SSL), ou da versão 2 do intercâmbio de
chave de Internet (IKEv2) e ainda dá ao cliente a capacidade para realizar atividades tais como a
impressão onde o cliente é encontrado. Se é permitida, o tráfego destinado para o Internet está escavado
um túnel ainda ao ASA.

Nota: Esta não é uma configuração para o Split Tunneling, onde o cliente tem acesso unencrypted
ao Internet quando conectado ao ASA ou ao PIX. Refira ao PIX/ASA 7.x: Permita o Split Tunneling
para clientes VPN no exemplo de configuração ASA para obter informações sobre de como
configurar o Split Tunneling no ASA.

Pré­requisitos

Requisitos
Este documento supõe que uma configuração funcional do acesso remoto VPN já existe no ASA.
Refira PIX/ASA 7.x como um servidor de VPN remoto usando o exemplo da configuração ASDM para o
Cisco VPN Client se se não é configurado já.
Refira o acesso ASA 8.x VPN com o exemplo de configuração do cliente VPN de AnyConnect SSL para o
Cliente de mobilidade Cisco AnyConnect Secure se se não é configurado já.

Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
Versão 9(2)1 do 5500 Series de Cisco ASA
Versão 7.1(6) do Cisco Adaptive Security Device Manager (ASDM)
Versão Cliente VPN Cisco 5.0.07.0440
Versão 3.1.05152 do Cliente de mobilidade Cisco AnyConnect Secure

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório
específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração
(padrão) inicial. Se a sua rede estiver ativa, certifique­se de que entende o impacto potencial de qualquer
comando.

Diagrama de Rede
O cliente é ficado situado em uma rede típica do small office/home office (SOHO) e conecta através do
Internet ao escritório principal.
Informações de Apoio
Ao contrário de uma encenação clássica do Split Tunneling em que todo o tráfego do Internet é enviado a
unencrypted, quando você permite o acesso do LAN local para clientes VPN, permitem aqueles clientes
comunicar unencrypted com somente os dispositivos na rede em que é ficado situado. Por exemplo, um
cliente o acesso do LAN local seja permitido que quando conectado ao ASA da HOME possa imprimir a
sua própria impressora mas para não alcançar o Internet sem primeiramente enviar o tráfego sobre o
túnel.
Uma lista de acessos é usada a fim permitir aproximadamente da mesma maneira o acesso do LAN local
que o Split Tunneling está configurado no ASA. Contudo, em vez de definir que redes devem ser cifradas,
a lista de acessos define neste caso que redes não devem ser cifradas. Também, ao contrário da
encenação do Split Tunneling, as redes reais na lista não precisam de ser conhecidas. Em lugar de, o
ASA fornece uma rede padrão de 0.0.0.0/255.255.255.255, que é compreendido para significar o LAN
local do cliente.

Nota: Quando o cliente é conectado e configurado para o acesso do LAN local, você não pode
imprimir ou consultar por nome no LAN local. Contudo, você pode consultar ou imprimir pelo
endereço IP de Um ou Mais Servidores Cisco ICM NT. Veja a seção da pesquisa de defeitos deste
documento para mais informação assim como de ações alternativas para esta situação.

Configurar o acesso do LAN local para clientes VPN ou o cliente seguro da
mobilidade de AnyConnect
Termine estas tarefas a fim permitir o acesso dos Cisco VPN Client ou de Clientes de mobilidade Cisco
AnyConnect Secure a seu LAN local quando conectado ao ASA:
Configurar o ASA através do ASDM ou configurar o ASA através do CLI
Configurar o Cisco VPN Client
Configurar o Cliente de mobilidade Cisco AnyConnect Secure 

Configurar o ASA através do ASDM
Termine estas etapas no ASDM a fim permitir que os clientes VPN tenham o acesso do LAN local quando
conectado ao ASA:
1. Escolha a configuração > o acesso do acesso remoto VPN > da rede (cliente) > a política do grupo e
selecione a política do grupo em que você deseja permitir o acesso do LAN local. Clique então editam.

2. Vai a avançado > o Split Tunneling. 

3. Desmarcar a caixa herdar para a política e escolha­a excluem o liste de redes abaixo.
4. Desmarcar a caixa herdar para o liste de redes e clique­a então controlam a fim lançar o gerente do Access
Control List (ACL).

5. No ACL Manager, selecione Add > Add ACL... para criar uma nova lista de acesso. 

6. Forneça um nome para a ACL e clique em OK.
7. Uma vez que o ACL é criado, escolha adicionam o > Add ACE… a fim adicionar uma entrada de controle de
acesso (ACE).

8. Defina o ACE que corresponde ao LAN local do cliente.

a. Escolha a licença.
b. Escolha um endereço IP de Um ou Mais Servidores Cisco ICM NT de 0.0.0.0
c. Escolha uma Máscara de rede de /32.
d. (Opcional) forneça uma descrição.
e. Clique em OK.
9. Clique em OK para sair do ACL Manager. 

10. Seja certo que o ACL que você apenas criou está selecionado para o liste de redes do túnel em divisão.
11. Clique em OK para retornar à configuração da Política de Grupo.
12. O clique aplica­se e envia­se então (se for necessário) a fim enviar os comandos ao ASA.
Configurar o ASA através do CLI
Um pouco do que usa o ASDM, você pode terminar estas etapas no ASA CLI a fim permitir que os
clientes VPN tenham o acesso do LAN local quando conectado ao ASA:
1. Incorpore o modo de configuração.

ciscoasa>enable
Password:
ciscoasa#configure terminal
ciscoasa(config)#

2. Crie a lista de acessos a fim permitir o acesso do LAN local.

ciscoasa(config)#access­list Local_LAN_Access remark Client Local LAN Access
ciscoasa(config)#access­list Local_LAN_Access standard permit host 0.0.0.0

3. Entre no modo da configuração das normas do grupo para a política que você deseja alterar. 

ciscoasa(config)#group­policy hillvalleyvpn attributes
ciscoasa(config­group­policy)#
4. Especifique a política do túnel em divisão. Neste caso, a política excludespecified.

ciscoasa(config­group­policy)#split­tunnel­policy excludespecified

5. Especifique a lista de acessos do túnel em divisão. Neste caso, a lista é Local_LAN_Access.

ciscoasa(config­group­policy)#split­tunnel­network­list value Local_LAN_Access

6. Emita este comando:

ciscoasa(config)#tunnel­group hillvalleyvpn general­attributes

7. Associe a política do grupo ao grupo do túnel.

ciscoasa(config­tunnel­ipsec)# default­group­policy hillvalleyvpn

8. Retire os dois modos de configuração.

ciscoasa(config­group­policy)#exit
ciscoasa(config)#exit
ciscoasa#

9. Salve a configuração na RAM não volátil (NVRAM) e pressione Enter quando avisado para especificar o nome
de arquivo de origem.

ciscoasa#copy running­config startup­config

Source filename [running­config]?
Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a

3847 bytes copied in 3.470 secs (1282 bytes/sec)
ciscoasa#

Configurar o Cisco VPN Client
Termine estas etapas no cliente VPN a fim permitir que o cliente tenha o acesso do LAN local quando
conectado ao ASA.
1. Escolha sua entrada da conexão atual e o clique altera.
2. Vá ao guia de transporte e a verificação permite o acesso do LAN local. Salvaguarda do clique quando você
for feito.

Configurar o Cliente de mobilidade Cisco AnyConnect Secure
A fim configurar o Cliente de mobilidade Cisco AnyConnect Secure, refira o estabelecimento à conexão de
VPN SSL com seção SVC de ASA 8.x: Permita o Split Tunneling para o cliente VPN de AnyConnect
no exemplo de configuração ASA.
Separação­exclua o Tunelamento exige que você permite AllowLocalLanAccess no cliente de
AnyConnect. Todos separação­excluem o Tunelamento são considerados como o acesso do LAN local. A
fim usar a característica da exclusão do split­tunneling, você deve permitir a preferência de
AllowLocalLanAccess nas preferências do cliente VPN de AnyConnect. À revelia, o acesso do LAN
local é desabilitado. 
A fim permitir o acesso do LAN local, e consequentemente separação­excluir o Tunelamento, um
administrador de rede pode permiti­lo no perfil ou os usuários podem permiti­lo em seus ajustes das
preferências (veja a imagem na próxima seção). A fim permitir o acesso do LAN local, um usuário
seleciona a caixa de verificação de acesso do LAN local reservar se o split­tunneling é permitido no
gateway seguro e configurado com a separação­túnel­política exclui a política especificada. Além, você
pode configurar o perfil do cliente VPN se o acesso do LAN local é permitido com <LocalLanAccess
UserControllable= >true</LocalLanAccess> " verdadeiro ".

Preferências de usuário
Estão aqui as seleções que você deve fazer na aba das preferências no Cliente de mobilidade Cisco
AnyConnect Secure a fim permitir o acesso do LAN local.

Exemplo do perfil XML
Está aqui um exemplo de como configurar o perfil do cliente VPN com XML.
<?xml version="1.0" encoding="UTF­8"?>

<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema­instance" 

 xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
    <ClientInitialization>
        <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>

        <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
        <ShowPreConnectMessage>false</ShowPreConnectMessage>

        <CertificateStore>All</CertificateStore>
        <CertificateStoreOverride>false</CertificateStoreOverride>
        <ProxySettings>Native</ProxySettings>

        <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
        <AuthenticationTimeout>12</AuthenticationTimeout>
        <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>

        <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
        <LocalLanAccess UserControllable="true">true</LocalLanAccess>

        <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
        <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
        <AutoReconnect UserControllable="false">true

            <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
            </AutoReconnectBehavior>

        </AutoReconnect>
        <AutoUpdate UserControllable="false">true</AutoUpdate>
        <RSASecurIDIntegration UserControllable="false">Automatic

        </RSASecurIDIntegration>
        <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
        <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>

        <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
        <PPPExclusion UserControllable="false">Disable

            <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
        </PPPExclusion>
        <EnableScripting UserControllable="false">false</EnableScripting>

        <EnableAutomaticServerSelection UserControllable="false">false
            <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
            <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>

        </EnableAutomaticServerSelection>
        <RetainVpnOnLogoff>false

        </RetainVpnOnLogoff>
    </ClientInitialization>
</AnyConnectProfile>

Verificar
Termine as etapas nestas seções a fim verificar sua configuração.
Conecte com o cliente VPN ou o cliente seguro da mobilidade 
Veja o log de cliente VPN ou o DARDO para o cliente seguro da mobilidade 

Teste o acesso do LAN local com sibilo

Conecte com o cliente VPN ou o cliente seguro da mobilidade
Conecte seu cliente VPN ao ASA a fim verificar sua configuração.
1. Selecione sua entrada de conexão da lista e clique em Connect.

2. Escolha o estado > as estatísticas… a fim indicar o indicador dos detalhes do túnel onde você pode inspecionar
os detalhes do túnel e ver o fluxo de tráfego. Você pode igualmente ver que o LAN local está permitido na seção
do transporte.
3. Clique a aba dos detalhes da rota a fim ver as rotas a que o cliente VPN ainda tem o acesso local.

Neste exemplo, o acesso do LAN local está permitido ao cliente VPN a 192.168.0.0/24 quando todo tráfego
restante for cifrado e enviado através do túnel.

Conecte seu Cliente de mobilidade Cisco AnyConnect Secure ao ASA a fim verificar sua configuração.
1. Escolha sua entrada de conexão da lista de servidor e o clique conecta.

2. Escolha indicador avançado para todos os componentes > estatísticas… a fim indicar o modo de túnel. 
3. Clique a aba dos detalhes da rota a fim ver as rotas a que o Cliente de mobilidade Cisco AnyConnect
Secure ainda tem o acesso local.

Neste exemplo, o acesso do LAN local está permitido ao cliente a 10.150.52.0/22 e a 169.254.0.0/16 quando
todo tráfego restante for cifrado e enviado através do túnel.
Veja o log de cliente VPN ou o DARDO para o cliente seguro da mobilidade
Quando você examina o log de cliente VPN, você pode determinar mesmo se o parâmetro que permite o
acesso do LAN local está ajustado. A fim ver o log, clique a aba do log no cliente VPN. Clique então
configurações de registro a fim ajustar o que é registrado. Neste exemplo, o IKE é ajustado a 3
altos quando todos elementos restantes do log forem ajustados a 1 ­ ponto baixo.

Cisco Systems VPN Client Version 5.0.07.0440
Copyright (C) 1998­2003 Cisco Systems, Inc. All Rights Reserved.

Client Type(s): Windows, WinNT
Running on: 6.1.7601 Service Pack 2

1      14:20:09.532  07/27/06  Sev=Info/6  IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.

!­­­ Output is supressed
18     14:20:14.188  07/03/14  Sev=Info/5  IKE/0x6300005D
Client sending a firewall request to concentrator

19     14:20:14.188  07/03/14  Sev=Info/5  IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client, 
Capability= (Centralized Protection Policy).

20     14:20:14.188  07/03/14  Sev=Info/5  IKE/0x6300005C

Firewall Policy: Product=Cisco Intrusion Prevention Security Agent, 
Capability= (Are you There?).

21     14:20:14.208  07/03/14  Sev=Info/4  IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22     14:20:14.208  07/03/14  Sev=Info/5  IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23     14:20:14.208  07/03/14  Sev=Info/4  IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24     14:20:14.208  07/03/14  Sev=Info/5  IKE/0x63000010

MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25     14:20:14.208  07/03/14  Sev=Info/5  IKE/0x63000010

MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26     14:20:14.208  07/03/14  Sev=Info/5  IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27     14:20:14.208  07/03/14  Sev=Info/5  IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28     14:20:14.208  07/03/14  Sev=Info/5  IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems, 

Inc ASA5510 Version 9.2(1) built by root on Wed 2­Jun­14 14:45

!­­­ Local LAN access is permitted and the local LAN is defined.

29     14:20:14.238  07/03/14  Sev=Info/5  IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets), 

value = 0x00000001

30     14:20:14.238  07/03/14  Sev=Info/5  IKE/0x6300000F

LOCAL_NET #1
  subnet = 192.168.0.0 

  mask = 255.255.255.0
  protocol = 0

  src port = 0
  dest port=0

!­­­ Output is supressed.

Cliente de mobilidade Cisco AnyConnect Secure
Quando você examina os logs de AnyConnect dos diagnósticos e a ferramenta de relatório (DARDO)
empacota, você pode determinar mesmo se o parâmetro que permite o acesso do LAN local está
ajustado.

******************************************

Date        : 11/25/2011
Time        : 13:01:48
Type        : Information

Source      : acvpndownloader

Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false

CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false

MinimizeOnConnect: true
LocalLanAccess: true

AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false

AutoUpdate: true
RSASecurIDIntegration: Automatic

WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native

AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP: 

AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect

UntrustedNetworkPolicy: Connect
TrustedDNSDomains: 
TrustedDNSServers: 

AlwaysOn: false
ConnectFailurePolicy: Closed

AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false

TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true

AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly

EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20

AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false

AllowIPsecOverSSL: false
ClearSmartcardPin: true

******************************************

Teste o acesso do LAN local com sibilo
Uma maneira adicional de testar que o cliente VPN ainda tem o acesso do LAN local quando escavado
um túnel ao fim de cabeçalho de VPN é usar o comando ping na linha de comando de Microsoft
Windows. Está aqui um exemplo onde o LAN local do cliente é 192.168.0.0/24 e um outro host esta
presente na rede com um endereço IP de Um ou Mais Servidores Cisco ICM NT de 192.168.0.3.

C:\>ping 192.168.0.3

Pinging 192.168.0.3 with 32 bytes of data&colon;

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli­seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Troubleshooting
Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

Incapaz de imprimir por nome ou consultar
Quando o cliente VPN é conectado e configurado para o acesso do LAN local, você não pode imprimir ou
consultar por nome no LAN local. Há duas opções disponíveis a fim trabalhar em torno desta situação:
Consulte ou imprima pelo endereço IP de Um ou Mais Servidores Cisco ICM NT. 

A fim consultar, em vez do \ da sintaxe \ sharename, use \ da sintaxe \ x.x.x.x onde x.x.x.x é o endereço IP
de Um ou Mais Servidores Cisco ICM NT do computador host.

A fim imprimir, mude as propriedades para a impressora de rede a fim usar um endereço IP de Um ou Mais
Servidores Cisco ICM NT em vez de um nome. Por exemplo, em vez do \ da sintaxe \ sharename \
printername, \ do uso \ x.x.x.x \ printername, onde x.x.x.x é um endereço IP de Um ou Mais Servidores
Cisco ICM NT.

Crie ou altere o arquivo do cliente VPN LMHOSTS. Um arquivo LMHOSTS em Microsoft Windows PC permite
que você crie mapeamentos estáticos entre nomes de host e endereços IP de Um ou Mais Servidores Cisco
ICM NT. Por exemplo, um arquivo LMHOSTS pôde olhar como este: 

192.168.0.3 SERVER1192.168.0.4 SERVER2192.168.0.5 SERVER3

Na edição profissional do Microsoft Windows XP, o arquivo LMHOSTS é ficado situado em
%SystemRoot%\System32\Drivers\Etc. Refira seu documentação Microsoft ou artigo da base de conhecimento
microsoft 314108  para mais informação.

Informações Relacionadas
PIX/ASA 7.x como um servidor de VPN remoto usando o exemplo da configuração ASDM
Exemplo de Configuração de Cliente VPN SSL (SVC) no IOS com SDM
Cisco ASA 5500 Series Adaptive Security Appliances
Suporte Técnico e Documentação ­ Cisco Systems

© 2017 Cisco and/or its affiliates. All rights reserved.