Exemple de configuration d`autorisation d`accès au LAN

Exemple de configuration d'autorisation d'accès au LAN local pour
les clients VPN sur le concentrateur VPN 3000
Contenu
Introduction
Conditions préalables
Conditions requises
Composants utilisés
Diagramme du réseau
Conventions
Informations générales
Configurez le réseau local LAN pour les clients VPN
Configurez le concentrateur VPN
Configurer le client VPN
Vérifiez
Se connecter avec le client VPN
Afficher le journal du client VPN
Tester l'accès local au LAN avec un ping
Sessions de vue sur le concentrateur
Dépannez
Incapable d'imprimer ou de naviguer par nom
Informations connexes
Introduction
Ce document fournit des instructions pas à pas sur la façon dont permettre à des clients VPN pour accéder à seulement leur réseau local tandis
que percé un tunnel dans la gamme VPN 3000 un concentrateur. Cette configuration permet l'accès sécurisé de clients VPN aux ressources de
l'entreprise par l'intermédiaire d'IPsec, tout en leur donnant la capacité d'entreprendre des activités comme l'impression partout où ils se
trouvent. Si c'est autorisé, le trafic destiné à l'Internet est encore tunnelisé vers le concentrateur VPN.
Remarque: Ce n'est pas une configuration pour la Segmentation de tunnel, où le client a l'accès à Internet décrypté tandis que connecté au
concentrateur VPN. Référez-vous à la Segmentation de tunnel pour des clients VPN sur l'exemple de configuration de concentrateur VPN 3000
pour les informations sur la façon dont configurer la Segmentation de tunnel sur les concentrateurs VPN série 3000.
Conditions préalables
Conditions requises
Ce document suppose qu'une configuration du VPN fonctionnante d'Accès à distance existe déjà sur le concentrateur VPN. Référez-vous à
l'IPsec avec le client vpn à l'exemple de configuration de concentrateur VPN 3000 si on n'est pas déjà configuré.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Version de logiciel 4.7.2.H de gamme de concentrateurs de Cisco VPN 3000
Client VPN Cisco Version 4.0.5
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les
périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous
que vous comprenez l'effet potentiel de toute commande.
Diagramme du réseau
Le client VPN est situé sur un réseau SOHO standard et se connecte à travers l'Internet au bureau central.
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Informations générales
Séparer/un scénario classique de Segmentation de tunnel dans lequel tout le trafic Internet est envoyé à décrypté, activant l'accès local au LAN
pour des clients vpn permet à ces clients pour communiquer décrypté avec seulement des périphériques sur le réseau sur lequel ils se trouvent.
Par exemple, un client vpn qui est permis l'accès local au LAN tandis que connecté au concentrateur VPN de la maison peut imprimer à leur
propre imprimante, mais ne pas accéder à l'Internet sans envoyer d'abord le trafic au-dessus du tunnel.
Une liste des réseaux est utilisée afin de permettre l'accès local au LAN plus ou moins de la même façon que la Segmentation de tunnel est
configurée sur le concentrateur VPN. Cependant, au lieu de définir quels réseaux devraient être chiffrés, la liste des réseaux définit dans ce cas
quels réseaux ne devraient pas être chiffrés. D'ailleurs, à la différence du scénario de Segmentation de tunnel, les réseaux réels dans la liste n'ont
pas besoin d'être connus. Au lieu de cela, le concentrateur VPN fournit un réseau par défaut de 0.0.0.0/0.0.0.0 on comprend que qui signifie le
réseau local du client vpn.
Remarque: Quand le client VPN est connecté et configuré pour l'accès de réseau local LAN, vous ne pouvez pas imprimer ni naviguer par nom
sur le réseau local LAN. Cependant, vous pouvez naviguer ou imprimer par adresse IP. Consultez la partie dépannage de ce document pour plus
d'informations et pour connaître les solutions pour contourner cette situation.
Configurez le réseau local LAN pour les clients VPN
Complétez ces deux tâches afin de permettre l'accès de clients VPN à leur réseau local LAN tandis qu'ils sont connectés au Concentrateur VPN:
Configurez le concentrateur VPN
Configurer le client VPN
Configurez le concentrateur VPN
Terminez-vous ces étapes sur le concentrateur VPN afin de permettre à des clients vpn pour avoir l'accès local au LAN tandis que connecté :
1. Choisissez la configuration > la Gestion des stratégies > la gestion de trafic > les listes des réseaux.
2. Vérifiez que la liste (par défaut) locale de RÉSEAU LOCAL de client vpn est présent et le clic modifient pour vérifier que le réseau par
défaut de 0.0.0.0/0.0.0.0 est présent.
Alternativement, vous pouvez saisir un nouveau masque d'adresse réseau et de masque afin de définir le réseau en ce moment. Cliquez sur
Apply quand vous êtes fait.
3. Une fois que vous confirmez que la liste des réseaux est présente, vous devez l'assigner à un groupe de tunnel. Choisissez le
Configuration > User Management > Groups, sélectionnez le groupe que vous souhaitez changer, et le clic modifient le groupe.
4. Sélectionnez l'onglet de config de client du groupe que vous avez choisi de modifier.
5. Faites descendre l'écran aux sections étiquetées stratégie de Segmentation de tunnel et liste des réseaux de Segmentation de tunnel.
6. Le contrôle permettent aux réseaux dans la liste pour sauter le tunnel. Puis, sélectionnez la liste de l'étape 1 dans le déroulant.
Dans ce cas c'est RÉSEAU LOCAL local de client vpn (par défaut). L'héritage ? des cases à cocher sont automatiquement vidées dans
des les deux cas.
7. Cliquez sur Apply quand vous êtes fait.
Configurer le client VPN
Terminez-vous ces étapes dans le client vpn afin de permettre au client pour avoir l'accès local au LAN tandis que connecté au concentrateur
VPN.
1. Choisissez votre entrée de routage de connexion existante et cliquez sur Modify.
2. Allez à l'onglet Transport et cochez Allow Local LAN Access. Cliquez sur Enregistrer quand vous avez terminé.
Vérifiez
Suivez les étapes décrites dans ces sections afin de vérifier votre configuration.
Se connecter avec le client VPN
Connectez votre client VPN au concentrateur VPN afin de vérifier votre configuration.
1. Choisissez votre entrée de connexion dans la liste et cliquez sur Connect.
2. Entrez dans vos informations d'identification.
3. Choisissez Status > Statistics... afin d'afficher la fenêtre de détails de tunnel où vous pouvez inspecter les conditions particulières du
tunnel et consulter le flux du trafic.
4. Allez aux détails d'artère l'onglet afin de voir à quelles artères le client vpn a toujours l'accès local.
Dans cet exemple, le client VPN a l'autorisation d'accès au réseau local LAN à 192.168.0.0/24 tandis que tout autre trafic de routage est
crypté et envoyé à travers le tunnel.
Afficher le journal du client VPN
Quand vous examinez le journal client VPN, vous pouvez déterminer si le paramètre qui permet l'accès au réseau local LAN est défini. Afin
d'afficher le journal, accédez à l'onglet Log dans le client VPN. Cliquez alors sur Log Settings afin d'ajuster ce qui est enregistré. Dans cet
exemple, l'IKE et l'IPsec sont placés à 3 hautes tandis que tous autres éléments de log sont placés à 1 - bas.
Cisco Systems VPN Client Version 4.0.5 (Rel)
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2
1
16:22:08.214 07/19/06 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with 172.22.1.106.
!--- Output is supressed.
26
16:22:39.338 07/19/06 Sev=Info/5 IKE/0x6300005D
Client sending a firewall request to concentrator
27
16:22:39.338 07/19/06 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client,
Capability= (Centralized Protection Policy).
28
16:22:39.338 07/19/06 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent,
Capability= (Are you There?).
29
16:22:39.348 07/19/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.106
30
16:22:39.348 07/19/06 Sev=Info/6 IKE/0x63000054
Sent a keepalive on the IPSec SA
31
16:22:40.200 07/19/06 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.106
32
16:22:40.200 07/19/06 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.106
33
16:22:40.200 07/19/06 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50
34
16:22:40.200 07/19/06 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0
35
16:22:40.200 07/19/06 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000
36
16:22:40.200 07/19/06 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000
37
16:22:40.210 07/19/06 Sev=Info/5 IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems,
Inc./VPN 3000 Concentrator Version 4.7.2.H built by vmurphy on Jun 29 2006 20:21:56
!--- Local LAN access is permitted and the local LAN defined.
38
16:22:40.230 07/19/06 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets),
value = 0x00000001
39
16:22:40.230 07/19/06
LOCAL_NET #1
subnet = 192.168.0.0
Sev=Info/5 IKE/0x6300000F
mask = 255.255.255.0
protocol = 0
src port = 0
dest port=0
40
16:22:40.230 07/19/06 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = Received and using NAT-T port number , value = 0x00001194
!--- Output is supressed.
Tester l'accès local au LAN avec un ping
Pour vérifier d'une autre façon si le client VPN a toujours accès au réseau local LAN tandis qu'il y a une transmission tunnel vers le
concentrateur VPN, vous pouvez utiliser la commande ping sur la ligne de commande Windows. Le réseau local du client VPN est
192.168.0.0/24 et un autre hôte est présent sur le réseau avec une adresse IP 192.168.0.3.
C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:
Reply
Reply
Reply
Reply
from
from
from
from
192.168.0.3:
192.168.0.3:
192.168.0.3:
192.168.0.3:
bytes=32
bytes=32
bytes=32
bytes=32
time<1ms
time<1ms
time<1ms
time<1ms
TTL=255
TTL=255
TTL=255
TTL=255
Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Sessions de vue sur le concentrateur
Vous pouvez également visualiser les sessions sur le concentrateur VPN afin de vérifier que le tunnel est.
1. Choisissez le Monitoring > Sessions afin de voir des sessions actives sur le concentrateur VPN.
2. Faites descendre l'écran pour voir plus d'informations sur des sessions connectées.
Dépannez
Référez-vous à IPsec avec le client vpn à l'exemple de configuration de concentrateur VPN 3000 - dépannage pour des informations générales
sur dépanner cette configuration.
Incapable d'imprimer ou de naviguer par nom
Quand le client VPN est connecté et configuré pour l'accès de réseau local LAN, vous ne pouvez pas imprimer ni naviguer par nom sur le réseau
local LAN. Il y a deux options disponibles pour fonctionner autour de cette situation :
la navigation ou l'impression adresse IP.
Afin de parcourir, au lieu d'utiliser \ de syntaxe \ sharename, utilisez \ de syntaxe \ x.x.x.x où adresse IP d'isthe x.x.x.x de
l'ordinateur hôte.
Afin d'imprimer, modifiez les propriétés pour que l'imprimante en réseau utilise une adresse IP au lieu d'un nom. Par exemple, au
lieu du \ de syntaxe \ sharename \ printername, \ d'utilisation \ x.x.x.x \ printername, où adresse IP isan x.x.x.x.
Créez ou modifiez le fichier LMHOSTS de client VPN. Un fichier LMHOSTS sur un PC Windows vous permet de créer des applications
statiques entre les noms d'hôtes et les adresses IP. Par exemple, un fichier LMHOSTS pourrait ressembler à ceci:
192.168.0.3 SERVER1
192.168.0.4 SERVER2
192.168.0.5 SERVER3
Dans l'Edition Professionnelle de Windows XP, le fichier LMHOSTS se trouve dans %SystemRoot%\System32\Drivers\Etc. Consultez
l'article 314108 KB Microsoft ou votre documentation Microsoft pour plus d'informations.
Informations connexes
Exemples et notes techniques de configuration
© 1992-2010 Cisco Systems Inc. Tous droits réservés.
Date du fichier PDF généré: 17 décembre 2015
http://www.cisco.com/cisco/web/support/CA/fr/109/1096/1096574_local-lan-3k.html