Настройка маршрутизатора Cisco anyconnect
Обновлено: 21.11.2024
В этом документе описывается базовая конфигурация маршрутизатора Cisco IOS в качестве головного узла AnyConnect SSLVPN.
Предпосылки
Требования
Cisco рекомендует ознакомиться со следующими темами:
- Операционная система межсетевого взаимодействия Cisco (IOS)
- Защищенный мобильный клиент AnyConnect
- Общие операции протокола защищенных сокетов (SSL)
Используемые компоненты
Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:
- Маршрутизатор Cisco 892W со скоростью 15,3(3)M5
- Клиент AnyConnect Secure Mobility 3.1.08009
Информация о лицензировании для различных версий IOS
- Набор функций securityk9 необходим для использования функций SSLVPN независимо от используемой версии IOS.
- IOS 12.x: функция SSLVPN интегрирована во все образы 12.x, начинающиеся с 12.4(6)T, которые имеют по крайней мере лицензию безопасности (например, advsecurityk9, adventerprisek9 и т. д.).
- IOS 15.0 — более ранние версии требуют, чтобы на маршрутизаторе был установлен файл LIC, что позволит установить 10, 25 или 100 пользовательских подключений. Лицензии с правом использования* реализованы в версии 15.0(1)M4.
- IOS 15.1 — более ранние версии требуют, чтобы на маршрутизаторе был установлен файл LIC, что позволит установить 10, 25 или 100 пользовательских подключений. Лицензии с правом использования* были реализованы в версиях 15.1(1)T2, 15.1(2)T2, 15.1(3)T и 15.1(4)M1.
- IOS 15.2 — все версии 15.2 предлагают лицензии с правом использования* для SSLVPN
- IOS 15.3 и более поздние версии — более ранние версии предлагают лицензии с правом использования*. Начиная с версии 15.3(3)M, функция SSLVPN доступна после загрузки пакета технологий securityk9.
Для лицензирования RTU оценочная лицензия будет включена, когда будет настроена первая функция webvpn (то есть шлюз webvpn GATEWAY1) и будет принято лицензионное соглашение с конечным пользователем (EULA). По истечении 60 дней эта пробная лицензия становится постоянной лицензией. Эти лицензии основаны на чести и требуют приобретения бумажной лицензии для использования этой функции. Кроме того, вместо того, чтобы ограничиваться определенным количеством применений, RTU допускает максимальное количество одновременных подключений, которое платформа маршрутизатора может поддерживать одновременно.
Значительные усовершенствования программного обеспечения
Эти идентификаторы ошибок привели к важным функциям или исправлениям для AnyConnect:
-
: Добавлена поддержка AnyConnect 3.x для IOS : Исправление уязвимости BEAST, Microsoft KB2585542
Настроить
Шаг 1. Подтвердите, что лицензия включена
Первым шагом при настройке AnyConnect на головном узле маршрутизатора IOS является подтверждение того, что лицензия была правильно установлена (если применимо) и активирована. Обратитесь к информации о лицензировании в предыдущем разделе, чтобы узнать особенности лицензирования для разных версий. В зависимости от версии кода и платформы, отображается ли в show license лицензия SSL_VPN или securityk9. Независимо от версии и лицензии необходимо принять лицензионное соглашение, и лицензия будет отображаться как активная.
Шаг 2. Загрузите и установите клиентский пакет AnyConnect Secure Mobility на маршрутизаторе
Загрузка образа AnyConnect в головной узел VPN служит двум целям. Во-первых, только операционные системы, у которых есть образы AnyConnect, присутствующие на головном узле AnyConnect, будут разрешены для подключения. Например, для клиентов Windows требуется, чтобы пакет Windows был установлен на головном узле, для 64-разрядных клиентов Linux требуется 64-разрядный пакет Linux и т. д. Во-вторых, образ AnyConnect, установленный на головном узле, будет автоматически передан на клиентский компьютер при подключении. Пользователи, которые подключаются в первый раз, смогут загрузить клиент с веб-портала, а вернувшиеся пользователи смогут выполнить обновление при условии, что пакет AnyConnect на головном узле новее, чем тот, который установлен на их клиентском компьютере.
Пакеты AnyConnect можно получить в разделе AnyConnect Secure Mobility Client на веб-сайте загрузки программного обеспечения Cisco. Хотя доступно множество вариантов, пакеты, которые должны быть установлены на головном узле, будут помечены операционной системой и развертыванием головного узла (PKG). Пакеты AnyConnect в настоящее время доступны для следующих платформ операционных систем: Windows, Mac OS X, Linux (32-разрядная версия) и Linux 64-разрядная версия. Обратите внимание, что для Linux существуют как 32-битные, так и 64-битные пакеты. Каждая операционная система требует, чтобы на головном узле был установлен соответствующий пакет, чтобы соединения были разрешены.
После загрузки пакета AnyConnect его можно загрузить во флэш-память маршрутизатора с помощью команды копирования через TFTP, FTP, SCP или несколько других вариантов. Вот пример:
После того, как вы скопируете образ AnyConnect на флэш-память маршрутизатора, его необходимо установить с помощью командной строки.Можно установить несколько пакетов AnyConnect, указав порядковый номер в конце команды установки; это позволит маршрутизатору действовать как головной узел для нескольких клиентских операционных систем. Когда вы устанавливаете пакет AnyConnect, он также перемещает его в каталог flash:/webvpn/, если он не был скопирован туда изначально.
В версиях кода, выпущенных до 15.2(1)T, команда для установки PKG немного отличается.
Шаг 4. Создайте пару ключей RSA и самозаверяющий сертификат
При настройке SSL или любой функции, реализующей инфраструктуру открытых ключей (PKI) и цифровые сертификаты, для подписи сертификата требуется пара ключей Rivest-Shamir-Adleman (RSA). Следующая команда сгенерирует пару ключей RSA, которая затем будет использоваться при создании самозаверяющего сертификата PKI. Когда вы используете модуль 2048 бит, это не является обязательным требованием, рекомендуется использовать самый большой доступный модуль для повышения безопасности и совместимости с клиентскими машинами AnyConnect. Также рекомендуется использовать описательную метку, поскольку она упрощает управление ключами. Генерацию ключа можно подтвердить с помощью команды show crypto key mypubkey rsa.
Примечание. Поскольку экспорт ключей RSA связан со многими рисками, рекомендуется убедиться, что ключи настроены так, чтобы их нельзя было экспортировать, что является значением по умолчанию. Риски, возникающие при экспорте ключей RSA, обсуждаются в этом документе: Развертывание ключей RSA в PKI.
Примечание. Вместо самоподписанного сертификата, созданного маршрутизатором, можно использовать сертификат, выпущенный сторонним ЦС. Это можно сделать с помощью нескольких различных методов, описанных в этом документе: Настройка регистрации сертификата для PKI.
После правильного определения точки доверия маршрутизатор должен сгенерировать сертификат с помощью команды crypto pki enroll. С помощью этого процесса можно указать несколько других параметров, таких как серийный номер и IP-адрес. Однако это не требуется. Генерацию сертификата можно подтвердить с помощью команды show crypto pki certificates.
Шаг 5. Настройте локальные учетные записи пользователей VPN
Хотя можно использовать внешний сервер аутентификации, авторизации и учета (AAA), в данном примере используется локальная аутентификация. Эти команды создадут имя пользователя VPNUSER, а также создадут список проверки подлинности AAA с именем SSLVPN_AAA.
Шаг 6. Определите пул адресов и список доступа к разделенному туннелю для использования клиентами
Локальный пул IP-адресов должен быть создан, чтобы клиентские адаптеры AnyConnect могли получить IP-адрес. Убедитесь, что вы настроили достаточно большой пул для поддержки максимального количества одновременных клиентских подключений AnyConnect.
По умолчанию AnyConnect будет работать в режиме полного туннеля, что означает, что любой трафик, генерируемый клиентским компьютером, будет отправляться через туннель. Поскольку это обычно нежелательно, можно настроить список управления доступом (ACL), который затем определяет трафик, который должен или не должен передаваться через туннель. Как и в других реализациях ACL, неявный запрет в конце устраняет необходимость в явном отказе; поэтому необходимо настроить операторы разрешения только для трафика, который должен быть туннелирован.
Шаг 7. Настройте интерфейс виртуального шаблона (VTI)
Динамические VTI предоставляют по запросу отдельный интерфейс виртуального доступа для каждого сеанса VPN, что обеспечивает высоконадежное и масштабируемое подключение для VPN с удаленным доступом. Технология DVTI заменяет динамические криптокарты и динамический метод ступицы и луча, который помогает устанавливать туннели. Поскольку DVTI функционируют как любой другой реальный интерфейс, они допускают более сложное развертывание удаленного доступа, поскольку они поддерживают QoS, брандмауэр, атрибуты для каждого пользователя и другие службы безопасности, как только туннель активен.
Шаг 8. Настройте шлюз WebVPN
Шлюз WebVPN определяет IP-адрес и порт(ы), которые будут использоваться головным узлом AnyConnect, а также алгоритм шифрования SSL и сертификат PKI, которые будут представлены клиентам. По умолчанию шлюз поддерживает все возможные алгоритмы шифрования, которые зависят от версии IOS на маршрутизаторе.
Шаг 9. Настройте контекст WebVPN и групповую политику
Контекст WebVPN и групповая политика определяют некоторые дополнительные параметры, которые будут использоваться для подключения клиента AnyConnect. Для базовой конфигурации AnyConnect контекст просто служит механизмом, используемым для вызова групповой политики по умолчанию, которая будет использоваться для AnyConnect. Однако контекст можно использовать для дальнейшей настройки страницы-заставки WebVPN и работы WebVPN. В определенной группе политик список SSLVPN_AAA настроен как список проверки подлинности AAA, членом которого являются пользователи.Команда functions svc-enabled — это часть конфигурации, которая позволяет пользователям подключаться к клиенту AnyConnect S SL V PN C, а не только через WebVPN через браузер. Наконец, дополнительные команды SVC определяют параметры, которые относятся только к соединениям SVC: svc address-pool указывает шлюзу раздавать клиентам адреса в ACPool, svc split include определяет политику разделенного туннеля для ACL 1, определенного выше, и svc dns -server определяет DNS-сервер, который будет использоваться для разрешения доменного имени. При такой конфигурации все DNS-запросы будут отправляться на указанный DNS-сервер. Адрес, полученный в ответе на запрос, будет определять, будет ли трафик передаваться через туннель.
Шаг 10 (необязательно). Настройка профиля клиента
В отличие от ASA, в Cisco IOS нет встроенного графического интерфейса, который может помочь администраторам в создании профиля клиента. Профиль клиента AnyConnect необходимо создавать/редактировать отдельно с помощью автономного редактора профилей.
Совет. Найдите файл anyconnect-profileeditor-win-3.1.03103-k9.exe
Выполните следующие действия, чтобы маршрутизатор развернул профиль:
- Загрузите его на IOS Flash с помощью ftp/tftp
- Используйте эту команду, чтобы определить только что загруженный профиль:
Совет. В версиях IOS старше 15.2(1)T необходимо использовать эту команду:
webvpn import svc profile
Примечание. Используйте Инструмент поиска команд (только для зарегистрированных клиентов), чтобы получить дополнительную информацию о командах, используемых в этом разделе.
Подтвердить
После завершения настройки при доступе к адресу и порту шлюза через браузер он вернется на заставку WebVPN.
Статьи по теме
После покупки подписки перейдите на страницу "Мои продукты и услуги" и нажмите на нее.
После покупки подписки перейдите на страницу "Мои продукты и услуги" и нажмите на нее.
Для установки: sudo apt-get update tar xvf.
1.После покупки подписки перейдите на страницу "Мои продукты и услуги" и нажмите на нее.
После покупки подписки перейдите на страницу "Мои продукты и услуги" и нажмите на нее.
Целью этого документа является показать вам, как настроить подключение AnyConnect VPN на маршрутизаторе серии RV34x.
Преимущества использования AnyConnect Secure Mobility Client:
- Безопасное и постоянное подключение
- Постоянная безопасность и применение политик
- Развертывание с помощью Adaptive Security Appliance (ASA) или корпоративных систем развертывания программного обеспечения.
- Настраиваемый и переводимый
- Простота настройки
- Поддерживает как защиту протокола Интернета (IPSec), так и протокол защищенных сокетов (SSL)
- Поддерживает протокол Internet Key Exchange версии 2.0 (IKEv2.0)
Введение
Подключение к виртуальной частной сети (VPN) позволяет пользователям получать доступ, отправлять и получать данные в частную сеть и из нее посредством прохождения через общедоступную или общую сеть, такую как Интернет, но при этом обеспечивая безопасное подключение к базовой сети. инфраструктуры для защиты частной сети и ее ресурсов.
Клиент VPN — это программное обеспечение, которое устанавливается и запускается на компьютере, который хочет подключиться к удаленной сети. Это клиентское программное обеспечение должно быть настроено с той же конфигурацией, что и у VPN-сервера, такой как IP-адрес и информация для аутентификации. Эта информация аутентификации включает имя пользователя и общий ключ, который будет использоваться для шифрования данных. В зависимости от физического расположения подключаемых сетей VPN-клиент также может быть аппаратным устройством. Обычно это происходит, если VPN-подключение используется для соединения двух сетей, расположенных в разных местах.
Клиент Cisco AnyConnect Secure Mobility Client — это программное приложение для подключения к VPN, которое работает в различных операционных системах и конфигурациях оборудования. Это программное приложение позволяет удаленным ресурсам другой сети стать доступными, как если бы пользователь был напрямую подключен к своей сети, но безопасным способом. Cisco AnyConnect Secure Mobility Client предлагает новый инновационный способ защиты мобильных пользователей на компьютерных платформах или платформах смартфонов, обеспечивая более эффективную и постоянную защиту для конечных пользователей и комплексное применение политик для ИТ-администраторов.
На маршрутизаторе RV34x, начиная с версии микропрограммы 1.0.3.15 и далее, лицензирование AnyConnect не требуется. Плата взимается только за клиентские лицензии.
Дополнительную информацию о лицензировании AnyConnect для маршрутизаторов серии RV340 см. в статье Лицензирование AnyConnect для маршрутизаторов серии RV340 .
Применимые устройства | Версия прошивки
- Защищенный мобильный клиент Cisco AnyConnect | 4.4 (Скачать последнюю версию)
- Серия RV34x | 1.0.03.15 (Загрузить последнюю версию)
Настройка VPN-подключения AnyConnect на RV34x
Настройка SSL VPN на RV34x
Шаг 1. Откройте веб-утилиту маршрутизатора и выберите VPN > SSL VPN.
Шаг 2. Щелкните переключатель Вкл., чтобы включить Cisco SSL VPN Server.
Обязательные настройки шлюза
Следующие параметры конфигурации являются обязательными:
Примечание. В этом примере выбрана WAN1.
Шаг 4. Введите номер порта, который используется для шлюза SSL VPN, в поле Порт шлюза в диапазоне от 1 до 65535.
Примечание. В этом примере в качестве номера порта используется 8443.
Шаг 5. Выберите файл сертификата из раскрывающегося списка. Этот сертификат аутентифицирует пользователей, пытающихся получить доступ к сетевому ресурсу через туннели SSL VPN. Раскрывающийся список содержит сертификат по умолчанию и импортированные сертификаты.
Примечание. В этом примере выбран вариант "По умолчанию".
Шаг 6. Введите IP-адрес пула адресов клиентов в поле Пул адресов клиентов. Этот пул будет представлять собой диапазон IP-адресов, которые будут выделены удаленным VPN-клиентам.
Примечание. Убедитесь, что диапазон IP-адресов не пересекается ни с одним из IP-адресов в локальной сети.
Примечание. В этом примере используется адрес 192.168.0.0.
Шаг 7. Выберите сетевую маску клиента из раскрывающегося списка.
Примечание. В этом примере выбран адрес 255.255.255.128.
Шаг 8. Введите имя домена клиента в поле Домен клиента. Это будет доменное имя, которое должно быть передано клиентам SSL VPN.
Шаг 9. Введите текст, который будет отображаться в качестве баннера входа в систему, в поле Баннер входа. Это будет баннер, который будет отображаться каждый раз, когда клиент входит в систему.
Примечание. В этом примере добро пожаловать в Widedomain! используется в качестве баннера входа.
Дополнительные настройки шлюза
Следующие параметры конфигурации являются необязательными:
Шаг 1. Введите значение в секундах для тайм-аута простоя в диапазоне от 60 до 86 400. Это будет время, в течение которого сеанс SSL VPN может оставаться бездействующим.
Примечание. В этом примере используется 3000.
Шаг 2. Введите значение в секундах в поле Время ожидания сеанса. Это время, необходимое для сеанса протокола управления передачей (TCP) или протокола пользовательских дейтаграмм (UDP) после указанного времени простоя. Диапазон от 60 до 1209600.
Примечание. В этом примере используется 60.
Шаг 3.Введите значение в секундах в поле ClientDPD Timeout в диапазоне от 0 до 3600. Это значение определяет периодическую отправку сообщений HELLO/ACK для проверки состояния VPN-туннеля. .
Примечание. Эта функция должна быть включена на обоих концах VPN-туннеля.
Примечание. В этом примере используется 350.
Шаг 4. Введите значение в секундах в поле ШлюзВремя ожидания DPD в диапазоне от 0 до 3600. Это значение определяет периодическую отправку сообщений HELLO/ACK для проверки. статус VPN-туннеля.
Примечание. Эта функция должна быть включена на обоих концах VPN-туннеля.
Примечание. В этом примере используется 360°.
Шаг 5. Введите значение в секундах в поле Keep Alive в диапазоне от 0 до 600. Эта функция гарантирует, что ваш маршрутизатор всегда подключен к Интернету. Он попытается восстановить VPN-подключение, если оно будет разорвано.
Примечание. В этом примере используется 40.
Шаг 6. Введите значение в секундах для продолжительности подключения туннеля в поле Продолжительность аренды. Диапазон от 600 до 1209600.
Примечание. В этом примере используется 43 500.
Шаг 7. Введите размер пакета в байтах, который можно отправить по сети. Диапазон от 576 до 1406.
Примечание. В этом примере используется 1406.
Шаг 8. Введите время интервала реле в поле Rekey Interval. Функция Rekey позволяет повторно согласовать ключи SSL после установления сеанса. Диапазон от 0 до 43200.
Примечание. В этом примере используется 3600.
Шаг 9. Нажмите «Применить».
Настройка групповых политик
Шаг 1. Перейдите на вкладку "Групповые политики".
Шаг 2. Нажмите кнопку "Добавить" под таблицей групп SSL VPN, чтобы добавить групповую политику.
Примечание. В таблице SSL VPN Group будет показан список групповых политик на устройстве. Вы также можете изменить первую групповую политику в списке, которая называется SSLVPNDefaultPolicy. Это политика по умолчанию, предоставляемая устройством.
Шаг 3. Введите предпочтительное название политики в поле Имя политики.
Примечание. В этом примере используется политика группы 1.
Шаг 4. Введите IP-адрес основного DNS в соответствующее поле. По умолчанию этот IP-адрес уже указан.
Примечание. В этом примере используется адрес 192.168.1.1.
Шаг 5. (Необязательно) Введите IP-адрес вторичного DNS в соответствующее поле. Это послужит резервной копией на случай отказа основного DNS.
Примечание. В этом примере используется адрес 192.168.1.2.
Шаг 6.(Необязательно) Введите IP-адрес основного WINS в соответствующее поле.
Примечание. В этом примере используется адрес 192.168.1.1.
Шаг 7. (Необязательно) Введите IP-адрес вторичного WINS в соответствующее поле.
Примечание. В этом примере используется адрес 192.168.1.2.
Шаг 8. (Необязательно) Введите описание политики в поле Описание.
Примечание. В этом примере используется групповая политика с разделенным туннелем.
- Нет — позволяет браузеру не использовать настройки прокси-сервера.
- Авто — позволяет браузеру автоматически определять настройки прокси-сервера.
- Bypass-local — позволяет браузеру обходить настройки прокси-сервера, настроенные для удаленного пользователя.
- Отключено: отключает настройки прокси-сервера MSIE.
Примечание. В этом примере выбрано значение "Отключено". Это настройка по умолчанию.
Шаг 10. (Необязательно) В области «Параметры раздельного туннелирования» установите флажок «Включить раздельное туннелирование», чтобы разрешить отправку интернет-трафика в незашифрованном виде напрямую в Интернет. Полное туннелирование отправляет весь трафик на конечное устройство, где он затем направляется к ресурсам назначения, исключая корпоративную сеть из пути для веб-доступа.
Шаг 11. (Необязательно) Нажмите переключатель, чтобы выбрать, следует ли включать или исключать трафик при применении раздельного туннелирования.
Примечание. В этом примере выбран вариант "Включить трафик".
Шаг 12. В таблице разделенной сети нажмите кнопку "Добавить", чтобы добавить исключение разделенной сети.
Шаг 13. Введите IP-адрес сети в соответствующее поле.
Примечание. В этом примере используется адрес 192.168.1.0.
Шаг 14. В таблице разделенных DNS нажмите кнопку "Добавить", чтобы добавить исключение для разделенных DNS.
Шаг 15. Введите имя домена в соответствующее поле и нажмите «Применить».
Проверьте VPN-подключение AnyConnect
Шаг 1. Щелкните значок AnyConnect Secure Mobility Client.
Шаг 2. В окне AnyConnect Secure Mobility Client введите IP-адрес шлюза и номер порта шлюза, разделенные двоеточием (:), а затем нажмите Подключиться.
Примечание. В этом примере используется адрес 10.10.10.1:8443. Программное обеспечение теперь покажет, что оно связывается с удаленной сетью.
Шаг 3. Введите имя пользователя и пароль сервера в соответствующие поля, а затем нажмите OK.
Примечание. В этом примере в качестве имени пользователя используется пользователь Group1.
Шаг 4. Как только соединение будет установлено, появится баннер входа. Нажмите «Принять».
В окне AnyConnect теперь должно отображаться успешное VPN-подключение к сети.
Шаг 5. (Необязательно) Чтобы отключиться от сети, нажмите Отключить.
Теперь вы должны успешно настроить подключение AnyConnect VPN с помощью маршрутизатора серии RV34x.
Посмотреть видео, связанное с этой статьей.
Привет! Похоже, у вас отключен JavaScript. Пожалуйста, включите его, чтобы вы могли видеть и взаимодействовать со всем на нашем сайте.
Поскольку в этом году все продолжают работать из дома, мне несколько раз приходилось настраивать VPN Cisco AnyConnect на брандмауэрах ASA для клиентов. К сожалению, документация Cisco крайне запутана, и я видел много организаций, которые делают это неправильно (под чем я подразумеваю небезопасность). Однако сам процесс довольно прост, поэтому давайте рассмотрим шаги, необходимые для настройки Cisco AnyConnect для вашей VPN.
1. Настроить аутентификацию AAA
Первое, что нужно настроить, — это аутентификация AAA. Я предпочитаю использовать RADIUS для аутентификации и авторизации, но есть и другие варианты, такие как LDAP. Конфигурация похожа:
Этот фрагмент конфигурации говорит о том, что в моей сети есть сервер RADIUS с IP-адресом 10.10.1.1, на который я ссылаюсь тегом «MYRADIUS» в конфигурации ASA. Доступ к нему осуществляется через интерфейс ASA, который я назвал «ВНУТРЕННИМ» в конфигурации интерфейса.
2. Определение протоколов VPN
Когда пользователи подключаются к VPN, им потребуется IP-адрес для сеанса VPN. Это адрес, который будет отображаться внутри корпоративной сети для этого пользователя. Это не имеет ничего общего с общедоступным IP-адресом пользователя или любым адресом, который у него может быть в домашней сети. Он просто используется внутри сети после того, как трафик удаленного пользователя прошел через ASA.
Я определил здесь два пула, поскольку позже планирую создать несколько групп туннелей.
3. Настроить группы туннелей
Затем я настраиваю группы туннелей. Я создам две такие группы по причинам, которые объясню позже.
При этом создаются две группы туннелей с именами ANYCONN_1 и ANYCONN_2. Я назначил первый пул первой группе туннелей, а второй пул — второй.
Здесь я использую команду «group-alias», которая создает раскрывающийся список в клиенте AnyConnect на ПК пользователя. Пользователи увидят, что они могут выбрать «Сотрудников» или «Продавцов» в качестве параметров. Конфигурация, которую мы создаем, позволит людям из первой группы подключаться только к первой группе туннелей, а пользователям из второй группы — только ко второй.
Обратите внимание, что команда «authentication-server-group» может отличаться в этих двух группах туннелей. Таким образом, я мог отправить своих сотрудников на один сервер RADIUS (возможно, тот, который интегрирован с моим LDAP, или, что то же самое, я мог бы использовать LDAP изначально на брандмауэре), а поставщиков — на другой.
4. Установить групповые политики
Теперь нам нужны групповые политики. На самом деле нам нужно три из них. Нам нужна групповая политика для сотрудников и вторая для поставщиков. Третья политика предназначена для всех, кто каким-то образом прошел аутентификацию, но не прошел авторизацию. То есть у них были действительные учетные данные для входа в систему, но они не авторизованы для использования VPN.
Основная причина, по которой это может произойти, заключается в том, что они просто выбрали неправильный профиль. Но также возможно, что у меня могут быть люди, которые просто не имеют права использовать VPN вообще, даже если у них есть законные учетные данные. Это может произойти из-за того, что одна и та же система аутентификации используется для многих целей.
Откуда взялись эти названия? Здесь все становится немного запутанным, так что потерпите меня. Имена групповой политики, STAFF_VPN_GROUP и VENDOR_VPN_GROUP, представляют собой значения, предоставляемые сервером RADIUS или LDAP. Сервер должен быть настроен таким образом, чтобы после успешной аутентификации он возвращал эти значения в своем поле типа 25 IETF, также называемом Class. И это должно быть в определенном формате: OU=STAFF_VPN_GROUP; (с точкой с запятой).
Еще одна важная часть конфигурации, о которой я хочу упомянуть, — это команда «vpn-filter».Это применяет к этим пользователям специальный ACL (список управления доступом) и позволяет нам ограничивать то, что им разрешено, а что нет. Например, если бы я хотел разрешить группе сотрудников доступ ко всему в корпоративной сети, но ограничить доступ поставщиков только к определенной подсети, я мог бы сделать следующее:
5. Применить конфигурацию
Наконец, нам нужно применить конфигурацию к ВНЕШНЕМУ интерфейсу брандмауэра:
Логический поток аутентификации
Давайте рассмотрим логический процесс в этом примере конфигурации.
Сначала пользователь открывает свой клиент AnyConnect. Они подключаются к имени хоста (или IP-адресу) внешнего интерфейса нашего ASA. Как только они подключаются, они получают экран входа в систему, на котором они могут выбрать «Сотрудников» или «Продавцов» из раскрывающегося меню. Они вводят свой идентификатор пользователя и учетные данные для входа. Пока мы находимся только в разделе конфигурации группы туннелей.
Затем учетные данные для входа отправляются в группу серверов аутентификации, настроенную для этой группы туннелей. Если аутентификация прошла успешно, сервер RADIUS вернет значение атрибута RADIUS IETF-25 (также называемого классом). Это значение включает имя групповой политики, в которой должен находиться этот пользователь.
На этом этапе у нас может быть несколько разных групповых политик для разных групп пользователей, все из которых подключаются с помощью одного и того же раскрывающегося меню. Мы могли бы назначить разные ACL для каждого из них, чтобы ограничить то, к чему они могут получить доступ, в зависимости от их группы. Этот механизм может выбрать только одну групповую политику. Если вы хотите, чтобы пользователь состоял в нескольких группах, вам нужно проявить творческий подход к группам туннелей.
В конфигурации группы туннелей мы определили общую групповую политику по умолчанию, которая называется NOACCESS. Если сервер RADIUS отправляет обратно что-то, что ASA не понимает, или, возможно, вообще ничего, то пользователь назначается этой групповой политике. Ради безопасности мы хотим запретить доступ в этих случаях. Мы делаем это, делая эту групповую политику NOACCESS разрешающей 0 одновременных входов в систему для каждого идентификатора пользователя:
Для тех пользователей, которые успешно получили доступ, мы можем применить ACL с помощью команды «vpn-filter». Это ACL-список, применяемый к самому брандмауэру для соединений, направляющихся к пунктам назначения. Поэтому мы поместили специально разрешенные или запрещенные адреса в часть ACL «назначение»:
Самая большая ошибка, которую я видел в конфигурациях AnyConnect, — это установка групповой политики по умолчанию в группе туннелей для разрешения доступа. Вы всегда должны запрещать по умолчанию.
Следуйте этому простому рабочему процессу, и вы получите простой и легко адаптируемый процесс настройки Cisco AnyConnect VPN.
—
Хотите узнать больше о VPN? Вам могут быть интересны следующие статьи по теме:
Наша статья о Web SSL VPN, написанная еще в 2011 году, представила новую волну VPN-сервисов. Эта статья расширяет тему, охватывая установку и настройку Cisco SSL AnyConnect VPN для маршрутизаторов Cisco IOS.
Web SSL VPN обеспечивает следующие три режима доступа SSL VPN:
• Безклиентский. Безклиентский режим обеспечивает безопасный доступ к частным веб-ресурсам и доступ к веб-содержимому. Этот режим удобен для доступа к большинству содержимого, к которому вы ожидаете получить доступ в веб-браузере, например, доступ в Интернет, интрасеть в Интернете, веб-почта и т. д.
• Тонкий клиент (апплет Java для переадресации портов) — режим тонкого клиента расширяет возможности криптографических функций веб-браузера, обеспечивая удаленный доступ к приложениям на основе TCP, таким как версия протокола Post Office. 3 (POP3), простой протокол передачи почты (SMTP), протокол доступа к сообщениям в Интернете (IMAP), Telnet и Secure Shell (SSH).
• Туннельный режим (клиент AnyConnect Secure Mobility). Полный туннельный режим клиента предлагает обширную поддержку приложений благодаря динамически загружаемому VPN-клиенту Cisco AnyConnect (клиент SSL VPN следующего поколения) для SSL VPN. Полнотуннельный клиентский режим предоставляет облегченный, централизованно настраиваемый и простой в поддержке клиент туннелирования SSL VPN, который обеспечивает доступ на сетевом уровне практически к любому приложению.
Преимущество SSL VPN заключается в его доступности практически из любой системы, подключенной к Интернету, без необходимости установки дополнительного программного обеспечения для настольных компьютеров.
Представляем Cisco SSL AnyConnect VPN — WebVPN
Cisco SSL AnyConnect VPN — это настоящая тенденция в наши дни. Она позволяет удаленным пользователям получать доступ к корпоративным сетям из любой точки Интернета через шлюз SSL VPN с помощью веб-браузера. Во время установления SSL VPN со шлюзом клиент загружает и устанавливает VPN-клиент AnyConnect со шлюза VPN. Эта функция обеспечивает легкий доступ к службам в сети компании и упрощает настройку VPN на шлюзе SSL VPN, значительно сокращая административные расходы системных администраторов.
Экран входа в систему безопасного маршрутизатора Cisco WebVPN
Клиент Cisco SSL AnyConnect VPN был представлен в Cisco IOS 12.4(15)T и с тех пор находится в разработке. Сегодня клиент Cisco SSL AnyConnect VPN поддерживает все платформы Windows, Linux Redhat, Fedora, CentOS, iPhone, iPad и мобильные телефоны Android.
Независимо от клиента (ПК, смартфон и т. д.) конфигурация маршрутизатора остается неизменной, а соответствующее программное обеспечение VPN-клиента загружается клиентом, подключающимся к VPN-шлюзу (маршрутизатору).
Смартфоны, такие как iPhone (включая iPad) и Android, могут загрузить клиент Cisco VPN AnyConnect Secure Mobility непосредственно из iTunes (Apple) или магазина Google Play соответственно (телефоны Android). Чтобы загрузить его, подключитесь к своему магазину и выполните поиск «Cisco AnyConnect».
Для корректной поддержки Anyconnect Secure Mobility Client для клиентов смартфонов (Android, iPhone и т. д.) требуется IOS версии 15.1.4 (M7) или выше. Для клиентов Windows Anyconnect настоятельно рекомендуется использовать IOS 12.4(20)T или выше. Также имейте в виду, что IOS 12.4 не требует активации лицензии для службы Webvpn.
В этой статье в качестве мобильных клиентов будет использоваться рабочая станция с Windows 7 и Samsung Galaxy SII с Ice Cream Sandwich (4.0.4).
Чтобы бесплатно загрузить файлы пакетов VPN AnyConnect Secure Mobility Client для платформ Windows, MacOS X и Linux, просто посетите наш раздел загрузки Cisco. Последняя версия клиента была доступна на момент написания этой статьи.
После того как наш клиент будет загружен и установлен на нашей рабочей станции с Windows 7, он будет готов инициировать VPN-подключение к нашему VPN-шлюзу:
Этапы по настройке и включению SSL AnyConnect VPN Secure Mobility Client
- Загрузить AnyConnect Secure Mobility Client на наш маршрутизатор Cisco
- Создать ключи RSA
- Объявите точку доверия и создайте самозаверяющий сертификат
- Настроить IP-адреса пула WebVPN, назначенные пользователям VPN
- Включить и настроить аутентификацию AAA для SSL VPN и создать учетные записи пользователей
- Включить лицензию WebVPN
- Настроить и включить шлюз WebVPN
- Настроить и включить контекст SSL VPN
- Настройте групповую политику по умолчанию, список проверки подлинности и окончательные параметры для WebVPN
Примечание. Полную рабочую конфигурацию WebSSL VPN AnyConnect можно найти в конце этой статьи.
Загрузка клиентского пакета AnyConnect Secure Mobility Client на наш маршрутизатор Cisco
Первым шагом является загрузка клиента Cisco AnyConnect во флэш-память маршрутизатора. В зависимости от типа клиентов может потребоваться загрузить более одного пакета клиента VPN AnyConnect. В нашей статье мы будем использовать последний VPN-клиент AnyConnect для Windows, который на момент написания имел версию 3.1.00495 (anyconnect-win-3.1.00495-k9.pkg). Этот клиент доступен для загрузки в нашем разделе загрузки Cisco.
Загрузка anyconnect-win-3.1.00495-k9.pkg с адреса 192.168.9.74 (через Virtual-Access3): .
[ОК - 29806775 байт]
Создать ключи RSA
Следующим шагом будет создание 1024-битных ключей RSA. Команда генерирования ключа шифрования rsa зависит от команд hostname и ip domain-name. Эта команда шифрования создает пару ключей Rivest, Shamir, Adleman (RSA), которая включает один открытый ключ RSA и один закрытый ключ RSA с размером модуля ключа 1024 (обычно):
% Создание 1024-битных ключей RSA, ключи нельзя будет экспортировать.
Примечание. Команда crypto key generate rsa не будет отображаться в рабочей или стартовой конфигурации маршрутизатора
Объявите точку доверия и создайте самозаверяющий сертификат
После завершения нам нужно объявить точку доверия, которую должен использовать маршрутизатор, с помощью команды command crypto pki trustpoint в режиме глобальной конфигурации. При объявлении точки доверия мы можем указать определенные характеристики в ее подкомандах, как показано в нашей конфигурации:
Создать самозаверяющий сертификат маршрутизатора? [да/нет]: да
Настройка IP-адресов пула WebVPN
Пользователям WebVPN необходимо будет назначить IP-адрес в локальной сети, чтобы они могли взаимодействовать с нашей сетью. Следующая команда указывает пул IP-адресов, которые будут назначены нашим пользователям. Это может быть как часть нашей локальной сети, так и совершенно другая сеть. Так как у нас много свободных IP-адресов, мы будем использовать небольшую их часть:
Обратите внимание, что мы назвали этот пул webvpn-pool.
Включение и настройка аутентификации AAA для SSL VPN — создание пользовательских учетных записей VPN
AAA означает аутентификацию, авторизацию и учет.Нам нужно включить AAA, чтобы использовать его для аутентификации пользователя.
Возможно, AAA уже включен на маршрутизаторе, и в этом случае нам нужно только определить список проверки подлинности (мы назвали его «sslvpn»), чтобы использовать локальную базу данных пользователей маршрутизатора для проверки подлинности пользователей.
Включить лицензию WebVPN
Когда служба WebVPN включается в первый раз на маршрутизаторе Cisco ISR поколения 2 (серии 1900, 2900 и 3900) с программным обеспечением IOS версии 15.x или более поздней, маршрутизатор предложит нам принять End- Пользовательское лицензионное соглашение (EULA) перед включением и активацией службы.
Чтобы продолжить, необходимо принять лицензионное соглашение:
ВНИМАТЕЛЬНО ПРОЧИТАЙТЕ СЛЕДУЮЩИЕ УСЛОВИЯ. УСТАНОВКА ЛИЦЕНЗИИ ИЛИ
ЛИЦЕНЗИОННЫЙ КЛЮЧ, ПРЕДОСТАВЛЯЕМЫЙ ДЛЯ ЛЮБОЙ ФУНКЦИИ ПРОДУКТА CISCO ИЛИ ИСПОЛЬЗОВАНИЯ ТАКОЙ
ФУНКЦИИ ПРОДУКТА ОЗНАЧАЮТ ВАШЕ ПОЛНОЕ ПРИНЯТИЕ СЛЕДУЮЩЕГО
УСЛОВИЯ. ВЫ НЕ ДОЛЖНЫ ДЕЙСТВОВАТЬ ДАЛЬШЕ, ЕСЛИ ВЫ НЕ ЖЕЛАЕТЕ БЫТЬ СВЯЗАННЫМ
НА ВСЕХ УСЛОВИЯХ, ИЗЛОЖЕННЫХ ЗДЕСЬ.
Активация интерфейса командной строки программного обеспечения будет свидетельствовать
ваше согласие с этим соглашением.
ПРИНЯТЬ? [да/нет]: да
После принятия лицензионного соглашения мы можем убедиться, что служба WebSSL VPN активирована, введя команду show license all. Обычно StoreIndex 4 содержит ссылку на WebSSL VPN:
Обратите внимание на упоминание типа лицензии: EvalRightToUse. Это означает, что это оценочная лицензия, лицензия на оценку. По истечении 8,5-недельного ознакомительного периода лицензия маршрутизатора Cisco ISRG2 не прекращает действие лицензии Web SSL_VPN и продолжает работать.
Активация лицензии применима только к версии IOS 15.x. IOS серии 12.4 не требует активации лицензии
Настроить и включить шлюз WebVPN
После того, как мы позаботились о лицензировании, пришло время приступить к настройке виртуального шлюза WebVPN. Виртуальный шлюз WebVPN включает интерфейс или IP-адрес и номер порта, которые служба WebVPN будет «прослушивать» для входящих подключений, а также определяет используемое шифрование.
Примечание. Если интерфейс, на котором будет работать WebVPN, имеет динамический IP-адрес, например Dialer0 (интерфейс ATM ADSL), команду ip address 74.200.90.5 port 443 можно заменить на ip interface Dialer0 port 443, где ' Dialer0 – это динамический интерфейс.
Примечание. Существует большая ошибка, из-за которой браузер клиентов Windows сообщает об ошибках, таких как ""Страница неправильно перенаправляется"" при попытке подключения к шлюзу SSL WebVPN. Согласно Cisco, эта ошибка появляется, когда компьютер с Windows получает обновление безопасности KB2585542. Обходной путь Cisco заключается в использовании вместо этого шифрования rc4-md5, как показано выше.
Для тех, кто хочет прочитать об этой ошибке, Cisco присвоила идентификатор ошибки: CSCtx38806 с описанием "IOS SSL VPN не удается подключиться после обновления безопасности Microsoft KB258554".
Настройка и включение контекста SSL VPN
Контекст SSL VPN используется для настройки ряда параметров нашего сервера Web VPN, в том числе:
- Связанный шлюз и домен
- Метод аутентификации пользователя AAA
- Связанная групповая политика
- Портал удаленных пользователей (веб-страница)
- Ограничить количество пользовательских сеансов WebVPN SSL
Большинство этих параметров настраиваются в нашей групповой политике. Затем эта групповая политика устанавливается в качестве групповой политики по умолчанию для нашей Web SSL VPN.
Давайте объясним, что делают все приведенные выше команды:
Команда контекста webvpn используется для создания контекста, который мы назвали Cisco-WebVPN. Команда title устанавливает текст, который будет отображаться в заголовке страницы веб-браузера и в верхней части экрана входа в систему.
Команда acl «ssl-acl» настраивает списки доступа для этого контекста. В основном он определяет, к чему будут иметь доступ пользователи веб-VPN. Мы предоставили нашим пользователям webVPN полный доступ к сети 192.168.9.0.
IP-адреса наших пользователей webvpn уже определены в пуле webvpn (от 192.168.9.80 до 192.168.0.85). Вместо того, чтобы вводить каждый IP-адрес в этом диапазоне в наш список ACL, мы просто настраиваем маршрутизатор, чтобы разрешить сеть 192.168.9.0 в качестве источника и пункта назначения в нашем VPN-туннеле. Это гарантирует, что любой IP-адрес в диапазоне 192.168.9.0, назначенный нашим клиентам VPN, будет иметь доступ к нашей локальной сети (192.168.9.0)
Команда login-message определяет текст, который будет отображаться в разделе входа в систему веб-страницы webvpn. Эти сообщения также отображаются на экране входа в систему WebVPN в начале нашей статьи.
Поскольку наш пул webvpn является частью той же сети, мы просто установили сеть 192.168.9.0 в качестве исходного и целевого IP-адресов.
Далее мы определяем групповую политику. Групповая политика настраивает ряд важных параметров. Мы назвали нашу групповую политику webvpnpolicy.
Команды functions svc-enabled и svc-required гарантируют, что туннельный режим включен и необходим.Комбинация этих двух команд заставит ПК пользователя VPN начать загрузку программного клиента AnyConnect, как только он успешно пройдет аутентификацию. Это называется работой в туннельном режиме.
В качестве альтернативы, без команды svc-required будет представлена веб-страница, с которой пользователь может напрямую запустить любую настроенную веб-службу на нашем портале webvpn или выборочно инициировать туннельный режим и начать загрузку программного клиента AnyConnect.
Примечание. Аббревиатура SVC расшифровывается как SSL VPN Client
На приведенном ниже снимке экрана показан процесс установки AnyConnect Secure Mobility Client. Имейте в виду, что эти снимки экрана применимы после полной настройки службы SSL WebVPN нашего маршрутизатора:
Во время установки пользователь получит ряд подсказок и предупреждений безопасности о проверке сертификата издателя и веб-сайта. Администраторы и инженеры должны указать своим пользователям VPN принять/разрешить установку сертификатов и программного клиента при появлении соответствующего запроса.
Вскоре после принятия сертификатов и подтверждения в веб-браузере разрешения на установку клиента запустится загрузчик AnyConnect Secure Mobility Client:
Команда filterтуннеля ssl-acl дает указание шлюзу webvpn использовать список доступа ssl-acl для определения доступа, который будут иметь пользователи vpn.
Команда svc address-pool определяет пул, который будет использоваться для назначения IP-адресов нашим пользователям vpn.
Метод new-tunnel svc rekey указывает, что SVC устанавливает новый туннель во время повторного ключа SVC.
Команда svc split включает раздельное туннелирование, указывая, какой сетевой трафик будет отправляться через туннель vpn. Если эта команда не включена, пользователям vpn не будет разрешен доступ в Интернет при подключении к vpn.
Настройка групповой политики по умолчанию, списка проверки подлинности и конечных параметров
Теперь мы настроим только что созданную политику в качестве политики по умолчанию, установим список проверки подлинности aaa (sslvpn), который будет использоваться для проверки подлинности пользователей, и максимальное количество пользователей для службы. Наконец, мы включаем наш контекст webvpn:
Читайте также: