Como configurar um CISCO ASA para suportar o cliente VPN do OS X

2

Dado que o OS X agora suporta (nativamente) conexões VPN CISCO IPSec, estou querendo saber quais são os requisitos para a configuração VPN no lado remoto?

Eu avaliei vários dispositivos CISCO (na faixa menor, como os roteadores ASA 5505, assim como os dispositivos RV120W e WRVS4400N) e não tive muita sorte em fazê-los falar com a VPN através do cliente interno, no entanto, quando eu uso algo como o IPSecuritas da Lobotomo, consigo estabelecer uma conexão sem problemas.

Então, qual é a configuração ideal para que isso funcione? Eu sinceramente preferiria não ter que instalar um cliente VPN em meus sistemas e simplesmente usar o cliente interno.

    
por Matthew Savage 20.10.2011 / 09:17

3 respostas

1

Desde que a Apple alega que a Cisco VPN é suportada nativamente, e é explicada em detalhes aqui , meu palpite seria um problema de configuração de VPN ou incompatibilidade.

Pode ser uma questão de combinar a configuração da VPN de acesso remoto ao cliente OSX, em vez do contrário.

    
por 20.10.2011 / 10:38
1

Da minha experiência, você terá que criar um grupo no ASA e atribuir-lhe uma senha. Você adiciona o usuário a esse grupo.

No OSX, o nome da conta e a senha são do usuário. Em seguida, em "Configurações de autenticação", digite a senha (segredo compartilhado) do grupo que você configurou no ASA e digite o nome do grupo no campo "Nome do grupo".

    
por 07.11.2011 / 05:19
0

Copiei e colei o que espero ser a configuração relevante do meu ASA (5525), em que isso está funcionando para clientes nativos do AnyConnect e do MacOS. Eu expurgi-lo de informações localizadas, então eu posso ter digitado algo ao longo do caminho. Espero não ter deixado nada de fora. (Procure por ! *** comentários.)

! *** This is a pool of IPs that will be allocated to VPN clients
ip local pool Pool_VPN 10.255.255.10-10.255.255.250 mask 255.255.255.0
! *** These are the networks accessible via the VPN
access-list Split_Tunnel standard permit 10.0.0.0 255.0.0.0
access-list Split_Tunnel standard permit 172.16.0.0 255.240.0.0
access-list Split_Tunnel standard permit 192.168.0.0 255.255.0.0
webvpn
 ! *** See below for the content of this file
 anyconnect profiles ExampleVPN disk0:/examplevpn.xml
group-policy GP_VPN internal
group-policy GP_VPN attributes
 wins-server none
 ! *** Replace with your internal DNS server
 dns-server value 192.168.0.255
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
 password-storage enable
 group-lock value TG_VPN
 split-tunnel-policy tunnelspecified
 ipv6-split-tunnel-policy tunnelspecified
 split-tunnel-network-list value Split_Tunnel
 ! *** Replace with your internal DNS zone
 default-domain value example.com
 split-dns none
 split-tunnel-all-dns disable
 secure-unit-authentication disable
 ! *** Replace with the FQDN of your ASA
 gateway-fqdn value asa.example.com
 address-pools value Pool_VPN
 client-access-rule none
 webvpn
  anyconnect profiles value ExampleVPN type user
  anyconnect ask none default anyconnect
tunnel-group TG_VPN type remote-access
tunnel-group TG_VPN general-attributes
 address-pool Pool_VPN
 default-group-policy GP_VPN
tunnel-group TG_VPN webvpn-attributes
 group-alias TG_VPN enable
tunnel-group TG_VPN ipsec-attributes
 ! *** Replace with your own shared secret
 ikev1 pre-shared-key ThisIsASharedSecret
tunnel-group-map default-group IPSecProfile

O arquivo disk0:/examplevpn.xml contém:

<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/">
  <ServerList>
    <HostEntry>
      <HostName>asa.example.com</HostName>
      <HostAddress>198.51.100.1</HostAddress>
      <PrimaryProtocol>IPsec</PrimaryProtocol>
    </HostEntry>
  </ServerList>
</AnyConnectProfile>

Substitua pelo FQDN externo e pelo endereço IP do seu ASA.

Em seguida, configure seu cliente "Cisco IPSec" do MacOS para usar o mesmo segredo compartilhado encontrado na linha "ikev1 pré-shared-key" e o nome do grupo é o grupo de túneis, neste caso "TG_VPN". O nome de usuário e senha são definidos localmente no ASA com linhas como:

username user password ***** encrypted privilege 15

Suponho que esteja usando as contas locais como resultado de:

user-identity default-domain LOCAL

Mas se você conseguir trabalhar com usuários locais, provavelmente poderá trabalhar para configurar a autenticação de maneira diferente, se precisar.

Eu direi que comecei com uma configuração AnyConnect já em funcionamento e adicionei estas linhas:

tunnel-group TG_VPN ipsec-attributes
 ikev1 pre-shared-key ThisIsASharedSecret

para fazê-lo funcionar com o cliente MacOS. (Eu também tive que expandir a lista de acesso à rede do túnel dividido, mas eu suspeito que isso também fosse necessário para os usuários do AnyConnect).

    
por 29.07.2015 / 01:13