Criterios de Configuracion de VPNs RA en ASA

Answered Question
Apr 16th, 2011

Hola,

Siempre he tenido algunas dudas con respecto a la configuracion y comportamiento de una VPN IPSec de Acceso Remto en los ASA55XX.

1. Como se ve la VPN topologicamente hablando en el ASA, es decir, Tengo la Outside con una IP Publica, mi Inside con una IP Privada y tengo los usuarios VPN con IPs privadas en una subred diferente a la Inside. El trafico desde estos clientes hacia la Inside (desde el punto de vista del ASA) entra por la Outside o como lo considera el ASA??

2. Por defecto el trafico desde los clientes VPN hacia la inside está denegado??

Estas preguntas me surgen porque hace poco configuré un ASA como concentrador VPN (nada de NAT o Firewall), y exploré el tema de los filtros sobre los usuarios, es decir, aplique ACLs para los usuarios que utilizan VPNs de manera que pude permitir o restringir trafico a mi voluntad entre los usuarios (con tunel VPN) y algunos dispositivos en la red Inside. A nivel de Firewall no apliqué ninguna ACLs, la configuracion quedo por defecto en: Permitir el trafico desde una Interfaz con una prioridad mas alta hacia una interfaz con una prioridad mas baja, de resto el trafico se deniega (repito, a nivel del Firewall).

Con las ACLs aplicadas como filtros, puedo hacer ping y gestionar los dispositivos Cisco de la Inside al igual que administar el ASA, pero si quiero utilizar la herramienta de diagnostico del ASDM "Packet Tracer" no se como configurar el escenario para hacer la simulacion o verificacion del flujo de trafico. La simulacion siempre falla debido a las ACLs del Firewall.

Gracias.

I have this problem too.
0 votes
Correct Answer by Alexandro Carra... about 3 years 5 days ago

el ruteo para tu nueva pool está bien? de tal forma que lo que trate de llegar a las direcciones de la pool se vayan al ASA?

  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 5 (1 ratings)
Alexandro Carra... Mon, 04/18/2011 - 16:02

Hola,

1 el trafico siempre entra por la outside cuando va del cliente a la ip publica del asa y este trafico es puramente esp o udp 4500 normalmente (si configuras ipsec over tcp, será el puerto que configures), en base a la security association que se genera cuando se negocia ipsec, se le asigna una ip de la pool, del acs o de dhcp segun como lo tengas configurado. cuando los hosts de la inside le responden a los clientes de vpn, mandan el trafico al asa para que vuelva a buscar en sus security associations a quién enviarle el tráfico cuando va hacia internet.

2 por defecto isakmp esta bloqueado en la outside y nat-t está deshabilitado, con esto los clientes de afuera no pueden mandar paquetes de isakmp o nat-t a la interfaz outside del asa, una vez pasando este punto, el trafico por defecto pasa a los clientes. lo que tienes que tener en cuenta es que el trafico de los hosts de la inside a la pool de vpn clients, no debe de ser nateado, es decir, hacer nat excemption

tu simulacion la podrias hacer de la inside a una ip en la outside cuando la security association esté creada.

espero que te ayude.

Saludos,

jose-cortes Mon, 04/18/2011 - 18:13

gracias por tu respuesta,

Pero sigo con algunas dudas, digamos que tengo un ASA virgen, con su configuracion de fabrica y quiero implementar un firewall y VPN remotas por IPSec.

Ahora digamos que implemento primero todo el tema de VPNs, teniendo en cuenta el siguiente escenario:

1. IP Inside: 10.10.10.1/24

2. IP outside: 20.20.20.1/24

3. Pool VPN local: 192.168.0.0 - 192.168.0.255 mask 255.255.255.0

Realizo la implementacion de las VPN en el ASA lo mas basica posible, es decir, con las reglas del firewall por defecto (deny any any & permit traffic to a less secure interface). Digamos que el tunel se establece y mi PC remoto toma una IP del Pool de VPNs:

1. Este cliente con una (IP 192.168.0.1) podria comunicarse con una maquina en la Inside (IP 10.10.10.240) haciendo uso de ICMP o TCP/IP UDP/IP?? o se deben crear reglas en el firewall para permitirlo??

2. Si la respuesta anterior es "si" las reglas se deben aplicar sobre que interfaz y en que sentido (e.g: Inside incoming, inside outgoing, outside incoming, outside outgoing).??

3. Si la respuesta a la pregunta 1 es "no" entonces puedo asumir que todo el trafico estará permitido por defecto entre los usuarios VPN y la Inside, y lo que deberia hacer para restringirlo es usar ACLs como vpn-filters en las configuraciones del Group-Policy o del usuario.

Gracias,

Jose

Alexandro Carra... Tue, 04/19/2011 - 06:37

el tráfico va a estar permitido por defecto, repito, ten cuidado de hacer nonat para que el trafico de la insie no haga nat cuando vaya a la outside. y sí, puedes usar vpn-filters en el group-policy o usar un access-list que seleccione el trafico permitido o negado y aplicarla inbound en la inside, es decir

si quieres que ningún cliente haga RDP a ningún host en la inside ...access-l x deny tcp any eq 3389 any ... access-gr x in interface inside

saludos,

jose-cortes Tue, 04/19/2011 - 09:49

Gracias por tu colaboracion Alexandro.

mira me sucede lo siguiente, yo configuré un ASA5510 para un cliente, y el cliente solicitó especificamente que el segmento de red para los usuarios remotos fuera el 130.105.101.0/16. Sucede que la LAN de este cliente es tambien la 130.105.0.0/16. Yo configuré todo por CLI y el tunel funciona, es mas si yo no aplico filtros sobre los Grupos o los usuarios los clientes VPN pueden acceder a todos los servidores y hacer ping a cualquier maquina dentro de la red 130.105.0.0/16 (LAN). Yo supongo que no existe ninguna restriccion ya que las manquinas estan en la misma red LAN. Ahora bien, yo siempre he sabido que este modelo no es recomendable, y logré convencer al cliente para que utilizaramos un sergmento de red diferente para las conexiones VPN remotas. Por el momento estoy haciendo pruebas con el segmento 172.17.99.0/24. Logro levantar el tunel, obtengo una IP del rango 172.17.99.0/24 y accedo hasta el ASA (SSH y HTTP) pero no tengo conectividad ni servicios hacia ninguna maquina ubicada en la 130.105.0.0/16.

Adicionalmente te informo que el ASA no realiza NAT y no funciona como firewall, ya que las conexiones hacia internet se realizan mediante un ISA server que funciona como proxy y firewall, por lo tanto las ACLs aplicadas en las interfaces son las default (deny ip any any &  permit traffic to a less secure interface).

El ASA tiene una IP Publica diferente a la del ISA server.

He estado leyendo y se supone que si yo aplico un baypass a las ACLs mediante el comando "systop connection permit-vpn" las ACLs aplicadas a las interfaces no influyen sobre mi trafico VPN, pero las ACLs aplicadas como filtros en mis Group-Policies o usuarios siguen activas.

Creé entonces un nuevo set para las pruebas PRUEBAS-GP (group-policy) PRUEBAS-POOL (ip local pool) PRUEBAS-TUNNEL (tunnel-group) y un username llamado "sonap". No tengo aplicado ningun filtro pero no puedo acceder a ningun dispositivo.

Mis dispositivos para realizar pruebas son unos Access Point Cisco, un Cat4500 y un Router 2801 los cuales no tienen restriccion de acceso para la administracion por SSH, HTTPs o Telnet. Sus direcciones son 130.105.10.1 130.105.10.2 130.105.1.5 y 130.105.1.1 respectivamente.

Te adjunto la configuracion del ASA.

Correct Answer
Alexandro Carra... Tue, 04/19/2011 - 09:54

el ruteo para tu nueva pool está bien? de tal forma que lo que trate de llegar a las direcciones de la pool se vayan al ASA?

jose-cortes Tue, 04/19/2011 - 11:17

Hola Alexandro, gracias por tu sugerencia, el enrutamiento estaba mal planteado en el dispositivo de core y estaba enviando todo el trafico al router de WAN no al ASA. Ya tengo acceso a la red LAN.

Una ultima pregunta, si yo desactivo el Bypass (no systop connection permit-vpn) entonces en cual interfaz debo aplicar las reglas para que el trafico de los usuarios VPN sea permitido? en la inside o la outside & entrante o saliente??

Gracias.

Jose

Alexandro Carra... Tue, 04/19/2011 - 13:15

en la interfaz outside dirección inbound permitiendo de la ip publica de los clientes  hacia tu ip de terminación de vpn udp 500, udp 4500, ESP . link

sin embargo sería bueno dejar el sysopt.

saludos,

Actions

Login or Register to take actions

This Discussion

Posted April 16, 2011 at 9:44 PM
Stats:
Replies:7 Avg. Rating:5
Views:884 Votes:0
Shares:0
Tags: No tags.

Discussions Leaderboard