配置与EAP-PEAP和本地窗口客户端的ASA IKEv2远程访问

Size: px

Start display at page:

Download "配置与EAP-PEAP和本地窗口客户端的ASA IKEv2远程访问"

煎吴
4 years ago
Views:

1 配置与 EAP-PEAP 和本地窗口客户端的 ASA IKEv2 远程访问目录简介先决条件要求使用的组件背景信息 AnyConnect 安全移动性客户端考虑事项配置网络图证书 ISE 步骤 1. 添加 ASA 到在 ISE 的网络设备步骤 2. 在本地存储创建一用户名 ASA Windows 7 步骤 1. 安装 CA 证书步骤 2. 配置 VPN 连接验证 Windows 客户端日志在 ASA 的调试级的数据包故障排除相关信息简介本文为允许远程 VPN 访问使用互联网密钥交换协议的 Cisco 可适应安全工具 (ASA) 版本和以上提供配置示例 (IKEv2) 以标准的可扩展的认证协议 (EAP) 验证这允许一个本地 Microsoft Windows 7 客户端 ( 和其他基于标准的 IKEv2) 连接到与 IKEv2 和 EAP 验证的 ASA 先决条件要求

2 Cisco 建议您了解以下主题 : 基本 VPN 和 IKEv2 知识基本认证授权和核算 (AAA) 和 RADIUS 知识体验与 ASA VPN 配置与身份服务引擎 (ISE) 配置的体验使用的组件本文档中的信息基于以下软件和硬件版本 : Microsoft Windows 7 Cisco ASA 软件, 版本和以上思科 ISE, 版本 1.2 及以后背景信息 AnyConnect 安全移动性客户端考虑事项本地窗口 IKEv2 客户端不支持分割隧道 ( 没有可能由 Windows 7 客户端接受 ) 的 CONF 回复属性, 因此与 Microsoft 客户端的唯一的可能的策略是以隧道传输所有流量 (0/0 流量选择器 ) 如果有需要对于一项特定分割隧道策略, 应该使用 AnyConnect AnyConnect 不支持在 AAA 服务器的标准化的 EAP 方法 (PEAP 终止, 传输层安全 ) 如果有需要终止 AAA 服务器的 EAP 会话那么可以使用 Microsoft 客户端配置 Note: 使用命令查找工具 ( 仅限注册用户 ) 可获取有关本部分所使用命令的详细信息网络图

3 ASA 配置验证与证书 ( 客户端需要委托该证书 ) Windows 7 客户端配置验证与 EAP (EAP-PEAP) ASA 作为终止 IKEv2 从客户端的 VPN 网关会话 ISE 作为终止从客户端的 AAA 服务器 EAP 会话 EAP 数据包被封装在流量的 IKE_AUTH 数据包客户端和 ASA (IKEv2) 之间然后在验证流量的 RADIUS 信息包 ASA 和 ISE 之间证书微软认证授权 (CA) 用于为了生成 ASA 的证书证书需求为了将由 Windows 7 本地客户端接受是 : 延长的密钥用法 (EKU) 分机应该包括服务器验证 ( 模板 Web 服务器用于该示例 ) subject-name 应该包括将由客户端用于为了连接的完全合格的域名 (FQDN) ( 在本例中 ASAv.example.com) 欲了解更详细的信息在 Microsoft 客户端, 请参阅排除故障 IKEv2 VPN 连接 Note: 机器人 4.x 更加限制式并且根据 RFC 6125 要求正确附属的替代方案名称欲知机器人的更多信息, 请参阅从机器人 strongswan 的 IKEv2 到与 EAP 和 RSA 验证的 Cisco IOS 为了生成在 ASA 的一证书签名请求, 使用了此配置 :

4 hostname ASAv domain-name example.com crypto ca trustpoint TP enrollment terminal crypto ca authenticate TP crypto ca enroll TP ISE 步骤 1. 添加 ASA 到在 ISE 的网络设备选择 Administration > 网络设备设置将由 ASA 使用的一个预共享密码步骤 2. 在本地存储创建用户名选择 Administration > 标识 > Users 创建用户名如所需求默认情况下其他设置启用为了 ISE 能验证与 EAP-PEAP ( 已保护可扩展的认证协议 ) 的终端 ASA 远程访问的配置为 IKEv1 和 IKEv2 是类似的 aaa-server ISE2 protocol radius aaa-server ISE2 (inside) host key cisco group-policy AllProtocols internal group-policy AllProtocols attributes vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless ip local pool POOL mask crypto ipsec ikev2 ipsec-proposal ipsec-proposal protocol esp encryption aes-256 aes-192 aes protocol esp integrity sha-256 sha-1 md5 crypto dynamic-map DYNMAP 10 set ikev2 ipsec-proposal ipsec-proposal crypto map MAP 10 ipsec-isakmp dynamic DYNMAP crypto map MAP interface outside crypto ikev2 policy 10 encryption 3des integrity sha group 2 prf sha lifetime seconds 因为 Windows 7 发送在 IKE_AUTH 数据包的一个 IKE-ID 类型地址, 应该用于 DefaultRAGroup 为了确保, 连接在正确隧道群登陆 ASA 验证与证书 ( 本地认证 ) 并且盼望客户端使用 EAP ( 远程验证 ) 并且, ASA 需要特定发送一个 EAP 标识要求客户端回应 EAP 标识答复 ( 查询标识 )

tunnel-group DefaultRAGroup general-attributes address-pool POOL authentication-server-group ISE default-group-policy AllProtocols tunnel-group DefaultRAGroup ipsec-attributes ikev2

5 tunnel-group DefaultRAGroup general-attributes address-pool POOL authentication-server-group ISE default-group-policy AllProtocols tunnel-group DefaultRAGroup ipsec-attributes ikev2 remote-authentication eap query-identity ikev2 local-authentication certificate TP 最后, IKEv2 需要启用, 并且正确证书使用 tunnel-group DefaultRAGroup general-attributes address-pool POOL authentication-server-group ISE default-group-policy AllProtocols tunnel-group DefaultRAGroup ipsec-attributes ikev2 remote-authentication eap query-identity ikev2 local-authentication certificate TP Windows 7 步骤 1. 安装 CA 证书为了委托 ASA 提交的证书, Windows 客户端需要委托其 CA 应该添加该 CA 证书到计算机证书存储 ( 不是用户存储 ) Windows 客户端使用计算机存储设备为了验证 IKEv2 证书为了添加 CA, 请选择 MMC >Add 或删除 Snap-ins > 证书

6 点击计算机帐户单选按钮导入 CA 给可信的根证书权限

如果 Windows 客户端不能验证 ASA 提交的证书, 报告 : tunnel-group DefaultRAGroup general-attributes address-pool POOL authentication-server-group ISE default-group-policy AllProtocols tunnel-group

7 如果 Windows 客户端不能验证 ASA 提交的证书, 报告 : tunnel-group DefaultRAGroup general-attributes address-pool POOL authentication-server-group ISE default-group-policy AllProtocols tunnel-group DefaultRAGroup ipsec-attributes ikev2 remote-authentication eap query-identity ikev2 local-authentication certificate TP 步骤 2. 配置 VPN 连接为了配置从网络和共享中心的 VPN 连接, 请选择连接到工作场所为了创建 VPN 连接

8 选择使用我的互联网连接 (VPN) 配置与 ASA FQDN 的地址确保它正确地解决域名服务器 (DNS)

9 如果必须, 请调节属性 ( 例如证书确认 ) 在已保护 EAP 属性窗口

10 验证使用本部分可确认配置能否正常运行命令输出解释程序工具 ( 仅限注册用户 ) 支持某些 show 命令请使用 Output Interpreter Tool 为了查看 show 命令输出分析 Windows 客户端当您连接时, 请输入您的凭证

11 在成功认证以后 IKEv2 配置应用会话已启动

$路由表用有使用的默认路由更新新接口与低度量指标 C:\Users\admin>route print =========================================================================== Interface List 41...IKEv2 connection to ASA 11...08 00 27 d2 cb 54.$

12 路由表用有使用的默认路由更新新接口与低度量指标 C:\Users\admin>route print =========================================================================== Interface List 41...IKEv2 connection to ASA d2 cb 54...Karta Intel(R) PRO/1000 MT Desktop Adapter 1...Software Loopback Interface e0 Karta Microsoft ISATAP e0 Teredo Tunneling Pseudo-Interface e0 Karta Microsoft ISATAP #4 =========================================================================== IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric On-link On-link On-link On-link On-link On-link On-link On-link On-link On-link On-link On-link On-link On-link =========================================================================== 日志在成功认证以后 ASA 报告 : ASAv(config)# show vpn-sessiondb detail ra-ikev2-ipsec Session Type: Generic Remote-Access IKEv2 IPsec Detailed

Username : cisco Index : 13 Assigned IP : 192.168.1.10 Public IP : 10.147.24.

13 Username : cisco Index : 13 Assigned IP : Public IP : Protocol : IKEv2 IPsecOverNatT License : AnyConnect Premium Encryption : IKEv2: (1)3DES IPsecOverNatT: (1)AES256 Hashing : IKEv2: (1)SHA1 IPsecOverNatT: (1)SHA1 Bytes Tx : 0 Bytes Rx : 7775 Pkts Tx : 0 Pkts Rx : 94 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : AllProtocols Tunnel Group : DefaultRAGroup Login Time : 17:31:34 UTC Tue Nov Duration : 0h:00m:50s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : c0a d000546b8276 Security Grp : none IKEv2 Tunnels: 1 IPsecOverNatT Tunnels: 1 IKEv2: Tunnel ID : 13.1 UDP Src Port : 4500 UDP Dst Port : 4500 Rem Auth Mode: EAP Loc Auth Mode: rsacertificate Encryption : 3DES Hashing : SHA1 Rekey Int (T): Seconds Rekey Left(T): Seconds PRF : SHA1 D/H Group : 2 Filter Name : IPsecOverNatT: Tunnel ID : 13.2 Local Addr : / /0/0 Remote Addr : / /0/0 Encryption : AES256 Hashing : SHA1 Encapsulation: Tunnel Rekey Int (T): Seconds Rekey Left(T): Seconds Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Bytes Tx : 0 Bytes Rx : 7834 Pkts Tx : 0 Pkts Rx : 95 ISE 日志指示与默认验证和授权规则的成功认证详细信息指示 PEAP 方法

14 在 ASA 的调试最重要的调试包括 :

15 ASAv# debug crypto ikev2 protocol 32 <most debugs omitted for clarity... ASA 接收的 IKE_SA_INIT 数据包 ( 包括 IKEv2 提议和密钥交换对于 Diffie-Hellman (DH)) : IKEv2-PROTO-2: Received Packet [From :500/To :500/VRF i0:f0] Initiator SPI : 7E5B69A Responder SPI : Message id: 0 IKEv2 IKE_SA_INIT Exchange REQUESTIKEv2-PROTO-3: Next payload: SA, version: 2.0 Exchange type: IKE_SA_INIT, flags: INITIATOR Message id: 0, length: 528 Payload contents: SA Next payload: KE, reserved: 0x0, length: 256 last proposal: 0x2, reserved: 0x0, length: 40 Proposal: 1, Protocol id: IKE, SPI size: 0, #trans: 4 last transform: 0x3, reserved: 0x0: length: 8... 对发起者的 IKE_SA_INIT 答复 ( 包括 IKEv2 提议密钥交换对于 DH 和证书请求 ) : IKEv2-PROTO-2: (30): Generating IKE_SA_INIT message IKEv2-PROTO-2: (30): IKE Proposal: 1, SPI size: 0 (initial negotiation), Num. transforms: 4 (30): 3DES(30): SHA1(30): SHA96(30): DH_GROUP_1024_MODP/Group 2IKEv2-PROTO-5: Construct Vendor Specific Payload: DELETE-REASONIKEv2-PROTO-5: Construct Vendor Specific Payload: (CUSTOM)IKEv2-PROTO-5: Construct Notify Payload: NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5: Construct Notify Payload: NAT_DETECTION_DESTINATION_IPIKEv2-PROTO-5: Construct Vendor Specific Payload: FRAGMENTATION(30): IKEv2-PROTO-2: (30): Sending Packet [To :500/From :500/VRF i0:f0] 客户端的 IKE_AUTH 用 IKE-ID 证书请求报价的转换集请求的配置和流量选择器 : IKEv2-PROTO-2: (30): Received Packet [From :4500/To :500/VRF i0:f0] (30): Initiator SPI : 7E5B69A Responder SPI : 1B1A94C7A Message id: 1 (30): IKEv2 IKE_AUTH Exchange REQUESTIKEv2-PROTO-3: (30): Next payload: ENCR, version: 2.0 (30): Exchange type: IKE_AUTH, flags: INITIATOR (30): Message id: 1, length: 948(30): 包括 EAP 标识请求从 ASA 的 IKE_AUTH 答复 ( 有 EAP 扩展的第一数据包 ) ( 如果没有在那里 ASA 的正确证书是失败 ), 该数据包也包括证书 : IKEv2-PROTO-2: (30): Generating EAP request IKEv2-PROTO-2: (30): Sending Packet [To :4500/From :4500/VRF i0:f0] ASA 接收的 EAP 答复 ( 长度 5, 有效负载 :cisco) : (30): REAL Decrypted packet:(30): Data&colon; 14 bytes (30): EAP(30): Next payload: NONE, reserved: 0x0, length: 14 (30): Code: response: id: 36, length: 10 (30): Type: identity (30): EAP data&colon; 5 bytes 然后多个信息包被交换作为 EAP-PEAP 的部分最终 EAP 成功由 ASA 接收并且转发对请求方 : Payload contents:

(30): EAP(30): Next payload: NONE, reserved: 0x0, length: 8 (30): Code: success: id: 76, length: 4 对等点身份验证是成功的 : Payload contents: (30): EAP(30): Next payload: NONE, reserved: 0x0, length: 8 (30):

16 (30): EAP(30): Next payload: NONE, reserved: 0x0, length: 8 (30): Code: success: id: 76, length: 4 对等点身份验证是成功的 : Payload contents: (30): EAP(30): Next payload: NONE, reserved: 0x0, length: 8 (30): Code: success: id: 76, length: 4 并且 VPN 会话正确地完成级的数据包 EAP 标识请求在扩展验证被封装 IKE_AUTH 发送由 ASA 与标识请求一起, IKE_ID 和证书发送所有随后的 EAP 数据包在 IKE_AUTH 被封装在请求方确认方法 (EAP-PEAP) 后, 开始构建保护用于验证的 MSCHAPv2 会话的安全套接字协议层 (SSL) 通道

17 在多个信息包被交换后 ISE 确认成功 IKEv2 会话由 ASA 完成, 最终配置 ( 与值的配置回复例如指定的 IP 地址 ), 转换设置, 并且流量选择器推送给 VPN 客户端

18 故障排除目前没有针对此配置的故障排除信息相关信息思科 ASA 系列 VPN CLI 配置指南, 9.3 思科身份服务引擎用户指南, 版本 1.2 技术支持和文档 - Cisco Systems

一．NETGEAR VPN防火墙产品介绍

一．NETGEAR VPN防火墙产品介绍 NETGEAR VPN NETGEAR 6 http://www.netgear.com.cn - 1 - NETGEAR VPN... 4 1.1 VPN...4 1.2 Dynamic Domain Name Service...4 1.3 Netgear VPN...4 Netgear VPN... 6 2.1 FVS318 to FVS318 IKE Main...7 2.1.1 A VPN