AWS上配置Cisco ASAv AnyConnect
这里演示了如何在AWS上搭建思科的SSLVPN,用来解决员工远程办公的需求。文章需要你有一定的AWS和SSLVPN基础。
1、实验简介
最近一直在研究思科防火墙的SSLVPN,用来解决员工远程办公的问题。传统上一般使用ASA55XX系列的硬件防火墙做SSLVPN,使用ASAv与使用硬件防火墙功能特性几乎没有区别。ASAv在vSphere和AWS环境都可以部署。这里主要介绍一下在AWS上使用ASAv配置SSLVPN的步骤。后续会继续深入去聊SSLVPN上的高级特性。
如果你有配置ASA SSLVPN的经验,需要注意的是AWS上的特殊场景,下面是整个实验的注意事项:
- 在中国区如果AWS账号未经过ICP备案则无法使用TCP 80/443端口,所以需要SSLVPN修改默认的443端口号。
- AWS上ASAv为客户端分配的IP地址需要进过NAT转换后才能访问,因为服务器没有回包路由。
- AWS上的Windows2016无法安装ASDM,建议使用Windows2019安装ASDM软件。
- 如果ASAv未购买License会限速100k并且最大会话100个,用于做实验足够了但是无法用于生产环境。
2、环境介绍
- 本次实验在VPC内需要使用2个子网,一个公共子网用于连接跳板机,用户可以先连接Windows2016之后,在Windows2016通过SSH和ASDM连接ASAv。这里不会详细介绍AWS相关基础知识,例如如何创建VPC、如何创建公有子网、私有子网。
- 这是实验将会用到的公有子网,默认路由指向了IGW。
3、配置跳板机环境
- 在公有子网启用一台window2016,用于之后通过SSH和ASDM访问ASAv,注意实例要选择windows 2016,经过测试windows 2019 无法安装ASDM。通过AWS的快速启动一台windows 2016,可以通过输入“windows 2016”过滤查找。注意,window 2019环境无法安装Cisco ASDM。
- Window2016放置在公有子网,并且开启分配公有IP功能。
4、创建ASAv实例
- 在AWS Marketplace搜索asav,选择ami启用即可。需要注意的是,ASAv默认eth0是ciscoasa的管理接口,管理接口只能走网管流量,不能传输数据流量,所以至少需要再添加一个eth1作为outside接口。如果需要添加更多接口,例如inside和dmz接口,可以添加「网络接口」然后附加到实例。其实在AWS环境中一个outside接口就可以运行AnyConnect环境了。
- 实例创建成功之后,在AWS环境下需要对实例参数进行一下配置。在AWS接口上默认会丢弃目的IP不是本接口IP的流量,所以想要ASA转发流量,必须关闭outside接口的
源/目标检查
。
- 如果客户端想要访问私有云内的服务器,那么不能直接使用ASAv分配的地址池去访问,否则服务器没有回包路由。解决方法是在ASAv做源NAT,将客户端的源IP地址转换成outside上的一个辅助IP地址(无法转换成outside接口地址)。如果是vSphere环境可以转换为outside接口地址。
- 防火墙outside需要公网能直接访问,所以需要一个公网地址。
- 公网地址关联上防火墙的outside接口。
- 启动之后,eth0是管理接口,首次连接时只能连接管理接口,如果想要连接其他接口可以连接之后配置。
5、ASAv基础配置
- 首先通过SSH连接到ASAv的管理口进行一些基础配置,这里我使用
MobaXterm
作为SSH客户端,下载地址会放在最后。在AWS上启动的ASAv默认用户名是admin
,使用对应的密钥登录即可。
- 首先需要设置enable密码
ciscoasa> enable
The enable password is not set. Please set it now.
Enter Password: ****
Repeat Password: ****
Note: Save your configuration so that the password persists across reboots
("write memory" or "copy running-config startup-config").
- 添加的eth1接口默认是down状态
ciscoasa# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Data0/0 169.254.1.1 YES unset up up
Management0/0 172.30.2.176 YES DHCP up up
TenGigabitEthernet0/0 172.30.1.7 YES CONFIG administratively down up
- 开启eth1,配置名称为outside
interface TenGigabitEthernet0/0
no shutdown
nameif outside
- 想要通过ASDM连接ASAv,需要开启http服务器,并且允许http流量从管理口进入,
0 0
表示不限制IP地址段,如果想要只允许192.168.1.0/24网段的http连接可以这么配置http 192.168.1.0 255.255.255.0。配置http的认证方式是本地认证,配置一个本地15级权限的用户名密码。
http server enable
http 0 0 management
aaa authentication http console LOCAL
username cisco password ciscoasa privilege 15
- 通过网页访问ASAv的管理接口地址
- 先下载并且安装Java环境,然后下载安装ASDM软件。
- 下载安装ASDM环境。
- 使用本地15级账号密码登录。
- ASAv未导入License的情况下,限速100Kbps,最大会话100个连接。
- 这里通过ASDM的文件管理功能导入AnyConnect文件。
- 导入本地的AnyConnect客户端文件。
- 查看磁盘确认有客户端文件。
ciscoasa# dir
Directory of disk0:/
86 -rwx 41077110 08:00:10 Jan 12 2021 anyconnect-win-4.6.00362-webdeploy-k9.pkg
6、ASAv配置SSLVPN
- 下面几乎是在AWS上ASAv的最小化配置了,这里对AnyConnect高级功能不做讨论。下面命令的含义:当客户端访问其他任何地址时,源地址转换为172.30.1.5。
object network asa_outside_address
host 172.30.1.5
object network anyconnect_pool_object
subnet 192.168.1.0 255.255.255.0
nat (outside,outside) source dynamic anyconnect_pool_object pat-pool asa_outside_address
- 默认情况下ASAv相同安全级别不能访问,流量不能从相同接口进出,这里需要开启这2个特性。
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
- 创建客户端的地址池
ip local pool anyconnect_client_pool 192.168.1.1-192.168.1.254 mask 255.255.255.255
- 定义隧道分隔地址段,只有当用户访问172.30.1.0/24时,流量才会通过SSL隧道到达ASAv,去往其他网段的流量客户端依然从本地网络出去。
access-list anyconnect_split standard permit 172.30.1.0 255.255.255.0
- 开启webvpn功能,修改端口为8443(AWS中国区未经过ICP备案无法使用TCP80/443),激活anyconnect拨号功能。
webvpn
port 8443
enable outside
anyconnect enable
anyconnect image disk0:/anyconnect-win-4.6.00362-webdeploy-k9.pkg
- 配置group-policy,允许通过网页和客户端拨入,定义流量为隧道分隔模式。
group-policy anyconnect internal
group-policy anyconnect attributes
vpn-tunnel-protocol ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value anyconnect_split
address-pools value anyconnect_client_pool
- 创建一个本地账号,用于拨号测试。
username anyuser password ciscoasa
username anyuser attributes
vpn-group-policy anyconnect
-
目前防火墙的默认路由是通过管理接口DHCP获取到的,需要将默认路由修改为outside出去。修改步骤如下:
- 开启outside ssh管理
- 将管理接口配置为静态IP,获取的默认路由会自动消失
- 重新通过outside接口连接ciscoasa
- 指定默认路由出口为outside
-
查看现有默认路由通过mgmt接口出去
ciscoasa# show route
S* 0.0.0.0 0.0.0.0 [1/0] via 172.30.2.1, management
C 172.30.1.0 255.255.255.0 is directly connected, outside
L 172.30.1.7 255.255.255.255 is directly connected, outside
C 172.30.2.0 255.255.255.0 is directly connected, management
L 172.30.2.176 255.255.255.255 is directly connected, management
- 允许ssh连接outside接口
ssh 0 0 outside
- 将管理接口配置为静态地址,获取的默认路由会自动消失。
interface management 0/0
ip address 172.30.2.176 255.255.255.0
- 重新通过SSH连接上outside接口之后,添加默认路由从outside接口出去。
route outside 0 0 172.30.1.1
- 默认情况下AnyConnect不允许通过远程桌面拨号,需要创建一个AnyConnect Client Profile文件,编辑里面的参数。
- 允许通过远程桌面拨号。
- 如果未修改这个参数,通过远程桌面拨号后会有如下报错。
7、测试AnyConnect拨号
- 拨号成功后,通过SSL通道能访问到Windows2016的内网地址即可证明访问成功。Windows2016需要关闭防火墙才能ping通。
- 安全组也需要放行ICMP协议。
- 在公网上拨号成功。
- 去往172.30.1.0/24网段的流量会通过加密隧道访问。
- 测试访问内网Windows2016
C:\Users\Administrator>ping 172.30.1.131
正在 Ping 172.30.1.131 具有 32 字节的数据:
来自 172.30.1.131 的回复: 字节=32 时间=1ms TTL=128
来自 172.30.1.131 的回复: 字节=32 时间=1ms TTL=128
来自 172.30.1.131 的回复: 字节=32 时间=1ms TTL=128
来自 172.30.1.131 的回复: 字节=32 时间=1ms TTL=128
- 这里协议默认是TLS,也就是TCP建立的连接,如果网络环境不太稳定,需要走语音和视频流量,建议使用DTLS通道,也就是UDP连接。
- 修改DTLS端口为8443
webvpn
dtls port 8443
- 在group-policy下开启DTLS
group-policy anyconnect attributes
webvpn
anyconnect ssl dtls enable
- 重新拨号查看协议。
- ASAv上查看客户端信息
ciscoasa(config)# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : anyuser Index : 3
Assigned IP : 192.168.1.1 Public IP : 52.83.196.213
Protocol : AnyConnect-Parent SSL-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384
Bytes Tx : 18613 Bytes Rx : 7928
Group Policy : anyconnect Tunnel Group : DefaultWEBVPNGroup
Login Time : 09:46:43 UTC Tue Jan 12 2021
Duration : 0h:01m:51s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : ac1e02b0000030005ffd7003
Security Grp : none
附一(NAT相关)
tunnelall带来的问题
文章的NAT配置如下,配置是隧道分隔模式倒是没有问题,但是如果想要使用tunnelall
模式,让所有流量都通过ASAv抵达互联网,那么使用下面的NAT配置客户端无法访问互联网,但是可以访问内网。
nat (outside,outside) source dynamic anyconnect_pool_object pat-pool asa_outside_address
因为EIP在关联私有IP时,相当于做的是静态一对一映射,这里EIP关联上了ASAv的outside接口,所以客户端的地址转换为辅助IP地址之后是不能转换为EIP去访问公网的,但是访问所在子网有明细路由的网络时,是不需要转换为EIP的,所以无法访问公网,可以访问内网。
![AnyConnect](../image/AWS上配置Cisco ASAv SSLVPN/AWS-ASAv-AnyConnect-28.png)
tunnelall的解决方式
有两种解决方式,我更推荐第一种解决方式:
-
修改NAT配置,将客户端源地址转换为ASAv outside出接口地址。使用
object nat
的配置方式,在object下配置NAT。object network sslvpn_client_pool_object subnet 172.30.0.0 255.255.254.0 nat (outside,outside) dynamic interface
-
再添加一个EIP,将这个EIP关联到辅助IP上去。
两块网卡带来的问题
上面实验都是防火墙只有一块网卡outside的情况,如果防火墙有两块网卡,一个outside接口,一个inside接口,还需要加一个twice nat
的配置。
如果只有上面object nat配置,那么客户端流量访问防火墙inside所在子网时,因为所在子网时防火墙直连接口,所以流量会从inside接口出去。但是无法在object nat
上配置源自outside却去往不同方向的流量。此时只能借助twice nat
的配置。
利用twice nat
配置时,可以将客户端地址转换为防火墙inside接口地址,也可以转换为地址池,因为此时流量并不去访问互联网。
object network sslvpn_client_pool_object
subnet 172.30.0.0 255.255.254.0
nat (outside,outside) dynamic interface
nat (outside,inside) source dynamic sslvpn_client_pool_object anyconnect_pat_pool_inside