Exemple de configuration d`autorisation d`accès au LAN
Transcription
Exemple de configuration d`autorisation d`accès au LAN
Exemple de configuration d'autorisation d'accès au LAN local pour les clients VPN sur le concentrateur VPN 3000 Contenu Introduction Conditions préalables Conditions requises Composants utilisés Diagramme du réseau Conventions Informations générales Configurez le réseau local LAN pour les clients VPN Configurez le concentrateur VPN Configurer le client VPN Vérifiez Se connecter avec le client VPN Afficher le journal du client VPN Tester l'accès local au LAN avec un ping Sessions de vue sur le concentrateur Dépannez Incapable d'imprimer ou de naviguer par nom Informations connexes Introduction Ce document fournit des instructions pas à pas sur la façon dont permettre à des clients VPN pour accéder à seulement leur réseau local tandis que percé un tunnel dans la gamme VPN 3000 un concentrateur. Cette configuration permet l'accès sécurisé de clients VPN aux ressources de l'entreprise par l'intermédiaire d'IPsec, tout en leur donnant la capacité d'entreprendre des activités comme l'impression partout où ils se trouvent. Si c'est autorisé, le trafic destiné à l'Internet est encore tunnelisé vers le concentrateur VPN. Remarque: Ce n'est pas une configuration pour la Segmentation de tunnel, où le client a l'accès à Internet décrypté tandis que connecté au concentrateur VPN. Référez-vous à la Segmentation de tunnel pour des clients VPN sur l'exemple de configuration de concentrateur VPN 3000 pour les informations sur la façon dont configurer la Segmentation de tunnel sur les concentrateurs VPN série 3000. Conditions préalables Conditions requises Ce document suppose qu'une configuration du VPN fonctionnante d'Accès à distance existe déjà sur le concentrateur VPN. Référez-vous à l'IPsec avec le client vpn à l'exemple de configuration de concentrateur VPN 3000 si on n'est pas déjà configuré. Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Version de logiciel 4.7.2.H de gamme de concentrateurs de Cisco VPN 3000 Client VPN Cisco Version 4.0.5 Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande. Diagramme du réseau Le client VPN est situé sur un réseau SOHO standard et se connecte à travers l'Internet au bureau central. Conventions Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco. Informations générales Séparer/un scénario classique de Segmentation de tunnel dans lequel tout le trafic Internet est envoyé à décrypté, activant l'accès local au LAN pour des clients vpn permet à ces clients pour communiquer décrypté avec seulement des périphériques sur le réseau sur lequel ils se trouvent. Par exemple, un client vpn qui est permis l'accès local au LAN tandis que connecté au concentrateur VPN de la maison peut imprimer à leur propre imprimante, mais ne pas accéder à l'Internet sans envoyer d'abord le trafic au-dessus du tunnel. Une liste des réseaux est utilisée afin de permettre l'accès local au LAN plus ou moins de la même façon que la Segmentation de tunnel est configurée sur le concentrateur VPN. Cependant, au lieu de définir quels réseaux devraient être chiffrés, la liste des réseaux définit dans ce cas quels réseaux ne devraient pas être chiffrés. D'ailleurs, à la différence du scénario de Segmentation de tunnel, les réseaux réels dans la liste n'ont pas besoin d'être connus. Au lieu de cela, le concentrateur VPN fournit un réseau par défaut de 0.0.0.0/0.0.0.0 on comprend que qui signifie le réseau local du client vpn. Remarque: Quand le client VPN est connecté et configuré pour l'accès de réseau local LAN, vous ne pouvez pas imprimer ni naviguer par nom sur le réseau local LAN. Cependant, vous pouvez naviguer ou imprimer par adresse IP. Consultez la partie dépannage de ce document pour plus d'informations et pour connaître les solutions pour contourner cette situation. Configurez le réseau local LAN pour les clients VPN Complétez ces deux tâches afin de permettre l'accès de clients VPN à leur réseau local LAN tandis qu'ils sont connectés au Concentrateur VPN: Configurez le concentrateur VPN Configurer le client VPN Configurez le concentrateur VPN Terminez-vous ces étapes sur le concentrateur VPN afin de permettre à des clients vpn pour avoir l'accès local au LAN tandis que connecté : 1. Choisissez la configuration > la Gestion des stratégies > la gestion de trafic > les listes des réseaux. 2. Vérifiez que la liste (par défaut) locale de RÉSEAU LOCAL de client vpn est présent et le clic modifient pour vérifier que le réseau par défaut de 0.0.0.0/0.0.0.0 est présent. Alternativement, vous pouvez saisir un nouveau masque d'adresse réseau et de masque afin de définir le réseau en ce moment. Cliquez sur Apply quand vous êtes fait. 3. Une fois que vous confirmez que la liste des réseaux est présente, vous devez l'assigner à un groupe de tunnel. Choisissez le Configuration > User Management > Groups, sélectionnez le groupe que vous souhaitez changer, et le clic modifient le groupe. 4. Sélectionnez l'onglet de config de client du groupe que vous avez choisi de modifier. 5. Faites descendre l'écran aux sections étiquetées stratégie de Segmentation de tunnel et liste des réseaux de Segmentation de tunnel. 6. Le contrôle permettent aux réseaux dans la liste pour sauter le tunnel. Puis, sélectionnez la liste de l'étape 1 dans le déroulant. Dans ce cas c'est RÉSEAU LOCAL local de client vpn (par défaut). L'héritage ? des cases à cocher sont automatiquement vidées dans des les deux cas. 7. Cliquez sur Apply quand vous êtes fait. Configurer le client VPN Terminez-vous ces étapes dans le client vpn afin de permettre au client pour avoir l'accès local au LAN tandis que connecté au concentrateur VPN. 1. Choisissez votre entrée de routage de connexion existante et cliquez sur Modify. 2. Allez à l'onglet Transport et cochez Allow Local LAN Access. Cliquez sur Enregistrer quand vous avez terminé. Vérifiez Suivez les étapes décrites dans ces sections afin de vérifier votre configuration. Se connecter avec le client VPN Connectez votre client VPN au concentrateur VPN afin de vérifier votre configuration. 1. Choisissez votre entrée de connexion dans la liste et cliquez sur Connect. 2. Entrez dans vos informations d'identification. 3. Choisissez Status > Statistics... afin d'afficher la fenêtre de détails de tunnel où vous pouvez inspecter les conditions particulières du tunnel et consulter le flux du trafic. 4. Allez aux détails d'artère l'onglet afin de voir à quelles artères le client vpn a toujours l'accès local. Dans cet exemple, le client VPN a l'autorisation d'accès au réseau local LAN à 192.168.0.0/24 tandis que tout autre trafic de routage est crypté et envoyé à travers le tunnel. Afficher le journal du client VPN Quand vous examinez le journal client VPN, vous pouvez déterminer si le paramètre qui permet l'accès au réseau local LAN est défini. Afin d'afficher le journal, accédez à l'onglet Log dans le client VPN. Cliquez alors sur Log Settings afin d'ajuster ce qui est enregistré. Dans cet exemple, l'IKE et l'IPsec sont placés à 3 hautes tandis que tous autres éléments de log sont placés à 1 - bas. Cisco Systems VPN Client Version 4.0.5 (Rel) Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Windows, WinNT Running on: 5.1.2600 Service Pack 2 1 16:22:08.214 07/19/06 Sev=Info/6 IKE/0x6300003B Attempting to establish a connection with 172.22.1.106. !--- Output is supressed. 26 16:22:39.338 07/19/06 Sev=Info/5 IKE/0x6300005D Client sending a firewall request to concentrator 27 16:22:39.338 07/19/06 Sev=Info/5 IKE/0x6300005C Firewall Policy: Product=Cisco Systems Integrated Client, Capability= (Centralized Protection Policy). 28 16:22:39.338 07/19/06 Sev=Info/5 IKE/0x6300005C Firewall Policy: Product=Cisco Intrusion Prevention Security Agent, Capability= (Are you There?). 29 16:22:39.348 07/19/06 Sev=Info/4 IKE/0x63000013 SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.106 30 16:22:39.348 07/19/06 Sev=Info/6 IKE/0x63000054 Sent a keepalive on the IPSec SA 31 16:22:40.200 07/19/06 Sev=Info/5 IKE/0x6300002F Received ISAKMP packet: peer = 172.22.1.106 32 16:22:40.200 07/19/06 Sev=Info/4 IKE/0x63000014 RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.106 33 16:22:40.200 07/19/06 Sev=Info/5 IKE/0x63000010 MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50 34 16:22:40.200 07/19/06 Sev=Info/5 IKE/0x63000010 MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0 35 16:22:40.200 07/19/06 Sev=Info/5 IKE/0x6300000D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000 36 16:22:40.200 07/19/06 Sev=Info/5 IKE/0x6300000D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000 37 16:22:40.210 07/19/06 Sev=Info/5 IKE/0x6300000E MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems, Inc./VPN 3000 Concentrator Version 4.7.2.H built by vmurphy on Jun 29 2006 20:21:56 !--- Local LAN access is permitted and the local LAN defined. 38 16:22:40.230 07/19/06 Sev=Info/5 IKE/0x6300000D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets), value = 0x00000001 39 16:22:40.230 07/19/06 LOCAL_NET #1 subnet = 192.168.0.0 Sev=Info/5 IKE/0x6300000F mask = 255.255.255.0 protocol = 0 src port = 0 dest port=0 40 16:22:40.230 07/19/06 Sev=Info/5 IKE/0x6300000D MODE_CFG_REPLY: Attribute = Received and using NAT-T port number , value = 0x00001194 !--- Output is supressed. Tester l'accès local au LAN avec un ping Pour vérifier d'une autre façon si le client VPN a toujours accès au réseau local LAN tandis qu'il y a une transmission tunnel vers le concentrateur VPN, vous pouvez utiliser la commande ping sur la ligne de commande Windows. Le réseau local du client VPN est 192.168.0.0/24 et un autre hôte est présent sur le réseau avec une adresse IP 192.168.0.3. C:\>ping 192.168.0.3 Pinging 192.168.0.3 with 32 bytes of data: Reply Reply Reply Reply from from from from 192.168.0.3: 192.168.0.3: 192.168.0.3: 192.168.0.3: bytes=32 bytes=32 bytes=32 bytes=32 time<1ms time<1ms time<1ms time<1ms TTL=255 TTL=255 TTL=255 TTL=255 Ping statistics for 192.168.0.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms Sessions de vue sur le concentrateur Vous pouvez également visualiser les sessions sur le concentrateur VPN afin de vérifier que le tunnel est. 1. Choisissez le Monitoring > Sessions afin de voir des sessions actives sur le concentrateur VPN. 2. Faites descendre l'écran pour voir plus d'informations sur des sessions connectées. Dépannez Référez-vous à IPsec avec le client vpn à l'exemple de configuration de concentrateur VPN 3000 - dépannage pour des informations générales sur dépanner cette configuration. Incapable d'imprimer ou de naviguer par nom Quand le client VPN est connecté et configuré pour l'accès de réseau local LAN, vous ne pouvez pas imprimer ni naviguer par nom sur le réseau local LAN. Il y a deux options disponibles pour fonctionner autour de cette situation : la navigation ou l'impression adresse IP. Afin de parcourir, au lieu d'utiliser \ de syntaxe \ sharename, utilisez \ de syntaxe \ x.x.x.x où adresse IP d'isthe x.x.x.x de l'ordinateur hôte. Afin d'imprimer, modifiez les propriétés pour que l'imprimante en réseau utilise une adresse IP au lieu d'un nom. Par exemple, au lieu du \ de syntaxe \ sharename \ printername, \ d'utilisation \ x.x.x.x \ printername, où adresse IP isan x.x.x.x. Créez ou modifiez le fichier LMHOSTS de client VPN. Un fichier LMHOSTS sur un PC Windows vous permet de créer des applications statiques entre les noms d'hôtes et les adresses IP. Par exemple, un fichier LMHOSTS pourrait ressembler à ceci: 192.168.0.3 SERVER1 192.168.0.4 SERVER2 192.168.0.5 SERVER3 Dans l'Edition Professionnelle de Windows XP, le fichier LMHOSTS se trouve dans %SystemRoot%\System32\Drivers\Etc. Consultez l'article 314108 KB Microsoft ou votre documentation Microsoft pour plus d'informations. Informations connexes Exemples et notes techniques de configuration © 1992-2010 Cisco Systems Inc. Tous droits réservés. Date du fichier PDF généré: 17 décembre 2015 http://www.cisco.com/cisco/web/support/CA/fr/109/1096/1096574_local-lan-3k.html