Mar 13

Installation du logiciel Anyconnect

Bonjour,

Tuto sur l’installation du logiciel/configuration du routeur et sur son fonctionnement.

On peut différencier deux types d’installation.

  • A partir d’un WebVPN en proposant à un utilisateur connecté de télécharger le logiciel à partir du routeur et d’exécuter un installation via Java. Je ne vais pas m’étendre sur le sujet  car ça beug beug et rebeug, alertes de sécurité et j’en passe.
  • La deuxième option est d’installer le logiciel sur la machine cliente, à l’aide d’un pre-deployed pack et c’est ce que nous allons faire.

Il faut d’abord trouver le logiciel : la version 3.1 est  facilement localisable en lançant une recherche sur google.fr.

Pour ce lab, j’utiliserai la version 4.1 (aussi téléchargeable depuis la toile) sur un client Windows. Mon routeur est un Cisco 1841 IOS 15.1 ; je ne peux pas faire dans ce lab de démo de connexion en IKEv2 (disponible à partir de la version 15.2).

 

MAJ : Je monte en ce moment même un Lab pour faire fonctionner Anyconnect avec mon tout nouveau routeur Mikrotik, à voir dans quelques semaines ce que cela peut donner ….

Quel sont  donc les avantages de ce logiciel par rapport au portail Web ?

  • Cryptage qui est ici en AES alors que le web est limité à rc4
  • Accès à toutes les applications du Lan comme si on y était
  • Accès au routeur via SSH. Il suffit d’ajouter les adresses du pool dans une ACL configurée sur les Line VTY et le tour est joué
  • Le logiciel CISCO est multiplateforme, gratuit sur Androïd. On peut facilement connecter sa tablette, son téléphone au VPN. Delà de multiples applications sont possibles comme par exemple téléphoner à travers son VPN (avec un IPX configuré)
  • Cet exemple utilise SSL pour la connexion donc à priori pas plus de problèmes de pare-feu.

 

et les inconvénients ?

 

  • Vous devez installer le logiciel sur la machine client
  • Les cartes de chiffrement additionnelles ne fonctionnent pas avec le protocole AES (voir la suite) ce qui entraine une envolée de l’utilisation processeur

 

Installation

Pour information, le logiciel a créer une connexion réseau : On lance l’installation de la bête :

 

On termine ce processus quelques plus loin :

 

 

Pour information, le logiciel créer une connexion réseau :

Celle-ci sera bien entendu activée automatiquement lors d’une authentification sur le routeur.

Configuration

 

Notre routeur

On créer une policy group adaptée aux besoins de cette connexion. Pour la configuration complète de la Web gateway, merci de se référer à cet article.
webvpn gateway Acces
 hostname Home
 ip interface FastEthernet0/1 port 443
 ssl encryption rc4-md5
ssl trustpoint HomePKI
logging enable
inservice 
 
webvpn context Home
 aaa authentication list Distant
gateway Acces
 max-users 5
ssl encryption aes-sha1
ssl authenticate verify all

!
 policy group Anyconnect
  functions svc-enabled
svc address-pool « SSL »
svc split dns XXXX.XXXX.me »
svc split include 192.168.0.0 255.255.255.0
svc wins-server primary 192.168.0.20
svc dtls
 
Avec comme points particuliers :
  • L’utilisation du protocole aes dans le contexte pour la protection des données
  • Un routage qui va être effectué par le logiciel sur le client. Ici dans mon exemple, seul le trafic à destination du réseau 192.168.0.0 sera encapsulé, le reste ne sera pas protégé. Cette option est très utile si vous voulez continuer à surfer sur le Net tout en étant connecter à votre serveur via le VPN. Vous pouvez  voir qui il est aussi possible de spliter via un nom de domaine.
  • Protocole dtls activé, configuration d’un serveur wins. 
Une question brûlante : pourquoi laisser  ssl encryption rc4-md5 dans la gateway alors que nous avons ssl encryption aes-sha1 dans le contexte ?
A priori Windows serait fautif, j’ai d’ailleurs lu quelques articles pour modifier une clef de registre !!!!!!  Mais sans cette ligne rc4-md5, j’ai des erreurs DNS quand j’essaie de me connecter. Après de multiples recherches sur les Forums CISCO, je sèche …. Il est toute fois important de bien spécifier un cryptage/hashage aes via la seconde commande, rc4 et md5 étant considérés comme faibles
Le pool d’adresses IP
Quand votre station va se connecter une adresse IP va lui être attribuée
Pour cela,  ip local pool @ip début @ip fin. Dans mon exemple le pool porte le nom de SSL
Une interface virtuelle
Une loopback avec une adresse IP dans le range du pool pour des questions de routage.
interface Loopback100
description SSL
ip address 10.3.20.1 255.255.255.255
 no ip redirects
no ip unreachables
no ip proxy-arp

La station

Tout d’abord installer le certificat de votre routeur VPN sur votre client pour que ce dernier puisse checker son identité.
Voici les quelques options disponibles dans le soft (dépend de la version) :
Rien de bien méchant, ça parle même aux non anglophones ! Nous allons voir le restant des onglets une fois en ligne.
Attention tout de même à l’option de blocage des serveurs non trust. Je ne peux que vous inviter à laisser cette case TOUJOURS cochée si vous ne voulez pas envoyer vos mots de passe n’importe où !
Il ne reste plus qu’à lancer notre connexion.
Pour cela, entrez le nom de domaine et lancer le soft. Après la saisie de vos credentials, vous voilà connecter si tout c’est bien passé.
A savoir que : avec ma version du soft je ne peux pas avoir plus d’un utilisateur logué sur l’ordinateur autrement échec de connexion.
Nous sommes donc bien connectés avec comme @IP 10.3.20.9
On peut voir d’ailleurs le cryptage utilisé, AES/SHA.
La compression n’est pas disponible sur les routeurs, uniquement sur les ASA.
Notre « routage/split » : on remarque ici que seul le réseau 192.168.0.0 sera routé vers notre tunnel. Tout le reste du trafic sera dirigé vers la passerelle nominale de la station.
 Bon clic à tous,

Lien Permanent pour cet article : http://rsocisco.fr/installation_anyconnect/

Laisser un commentaire

Your email address will not be published.