Меню

Webvpn cisco ios настройка



Cisco WebVPN

Технология Cisco WebVPN была разработана для организации удаленного доступа к сетям. Для организации безопасного соединения, WebVPN использует Secure Socket Layer Protocol и Transport Layer Security (SSL/TLS1). Для организации WebVPN можно использовать возможности Cisco IOS, Cisco VPN 3000 Concentrator или Cisco ASA 5500.

Подсоединение через WebVPN очень сильно отличается от использования IPSec, так как в этом случае не происходит обмена ключами, работа ведется с использованием сертификата. Возможно три режима доступа — режим тонкого клиента, туннельный и клиентский.

В клиентском режиме доступны функции:

  • Web используя HTTP и HTTPS
  • Доступ к файлам common Internet file system [CIFS]
  • Web-based e-mail , такой как Microsoft Outlook Web Access (OWA) 2003 (используя HTTP и HTTPS) с расширением WebDAV

В режиме тонкого клиента доступен только форвардинг портов.

В туннельном режиме организуется виртуальный сетевой интерфейс, который используется для доступа в удаленную сеть.

Настоятельно обращаю ваше внимание на то, что эта технология очень быстро развивается и возможности, предоставляемые IOS 12.4-2 несравнимы с тем, что умеет 12.4-9. В данной статье действует очень сильное ограничение — не используется авторизация Radius, что не позволяет предоставлять доступ на основе групп. Мы рассматриваем настройку WebVPN на Cisco IOS.

Настройка:

Первым делом необходимо создать сертификат и поднять HTTPS-сервер. Для этого необходимо выполнить следующую последовательность действий:

Настраиваем самоподписной сертификат:

Включаем SSL сервер:

Проверить правильность создания сертификата можно командами:

Далее, непосредственно настройка самого WebVPN. Нам необходимо создать шлюз, указать на нем перенаправлять клиентов, пришедших на 80 порт на порт 443 и использовать локальный сертификат:

Далее, создаем контекст, в котором будут описаны наши правила. Обратите внимание, что присутствуют некие функции дизайна начальной страницы 🙂

В случае, если мы планируем использовать SSL VPN client, то его необходимо установить. Текущей версией в настоящее время является sslclient-win-1.1.2.169.zip, скачать его можно здесь: http://www.dataresolution.net/Portals/0/sslclient-win-1.1.2.169.zip

Проверим, в конфигурации должна появиться строка:

Далее, добавляем в контекст следующие строки:

Обратите внимание на настройки для IE. Такая конфигурация имеет смысл для организации удаленного рабочего места сотрудника, например скоринговой точки, поскольку экспортирует маршрут по умолчанию и все данные будут направляться в виртуальный интерфейс Cisco SSL VPN. Для создания исключений необходимо воспользоваться ключевыми фразами exclude и include:

Для того, чтобы описать сеть или хост, трафик к которому пойдет НЕ через туннель

и чтобы описать сеть или хост, трафик к которому пойдет ЧЕРЕЗ туннель.

Если планируется работа с хостами локальной сети (например, сетевой принтер) то добавьте строку:

Для работы клиента необходимо настроить Loopback (при этом для использования OSPF нужно указать тип сети) и задать пул адресов:

Вот, собственно, и все. Я не стал рассматривать организацию общего доступа к файлам, так как считаю что организация SSL VPN также решает этот вопрос. Опытным путем было выяснено, что субъективно туннель работает значительно быстрее, чем форвардинг портов, в частности при использовании форвардинга на канале 128к пользоваться MSTSC было практически невозможно, а при туннеле наблюдалась вполне комфортная работа.

Источник

Установка AnyConnect SSLVPN на IOS Router

Web VPN, SSL VPN или AnyConnect VPN — это названия одной и той же технологии, которая позволяет пользователю подключаться к сети предприятия извне, используя протокол HTTPS.
Существуют различные протоколы, позволяющие туннелировать IP пакеты, т.е. создавать виртуальную частную сеть, например IPSec или PPTP, но для конечного пользователя проблема заключается в том, что не все провайдеры пропускают наружу все порты.

Читайте также:  Настройки что бы слышать шаги в кс

Очень часто из интернет кафе мы можем использовать только лишь соединения http и https. Тут как раз и не обойтись без AnyConnect SSLVPN.
С AnyConnect мы можем подключаться из любой заправки или Аэропорта по безопасному соединению.
AnyConnect на сегодняшний день передовая технология от Cisco, которая полноценно пришла на замену старого клиента «Cisco systems VPN Client».
AnyConnect активно поддерживается и регулярно обновляется; существуют дистрибутивы AnyConnect для Windows, Linux, Android, iOS: можно подключаться не только из любого места, но и с использованием практически любого устройства.

Данная статья есть переработанный материал Web VPN: подключение отовсюду, и ориентирована на настройку anyconnect на Cisco IOS Router.
Если у вас Cisco ASA, см. Работа с ASA Anyconnect SSL VPN HUB

Следует отметить, что под работу anyconnect гораздо лучше «заточена» Cisco ASA, поэтому в крупных предприятиях имеет смысл поднимать выделенный сервер VPN на ASA.
С другой стороны, то что умеет делать IOS вполне достаточно для небольшого офиса или для дома.

Используемое оборудование и версии

CISCO891-K9
IOS Version 15.4(3)M4

Загрузка и установка AnyConnect Secure Mobility Client Package

Сам клиент можно скачать с сайта циски, при этом на роутер следует устанавливать пакеты с расширением .pkg
Существуют пакеты для Linux (32-bit), Linux 64-bit, macosx, win. Важно понимать, что для поддержки определённой ОС, должен быть установлен соответствующий пакет.
При первом подключении пользователи могут загрузить и установить соответствующий package на свою машину.

Далее устанавливаем пакеты. При установке нескольких пакетов необходимо выставить у пакетов sequence.

Генерируем RSA Keypair а также Self-Signed Certificate

SSL используется технологии Public Key Infrastructure (PKI) а также Digital Certificates.
Rivest-Shamir-Adleman (RSA) keypair необходима для формирования signing of the certificate.
В нашем случае мы будем генерировать сертификат для себя, т.е. Self-Signed Certificate, — для этого мы предварительно сгенерируем RSA keypair.

Проверяем что у нас получилось:

Создаём PKI trustpoint. Common Name (CN) прописываем внешний IP адрес.

Генерируем самоподписный сертификат:

Проверяем созданный сертификат:

Включаем AAA и настраиваем дефолтную и аутентификацию для VPN

Определяем Address Pool, а также необходимые ACL

Address Pool — задаёт адреса, которые будут раздаваться клиентам:

Здесь ssl_vpn_acl задаёт адресацию, куда разрешено ходить клиентам VPN.
ssl_vpn_split_acl определяет Split Tunnel, т.е. на клиенте трафик в сторону 10.6.0.0 0.0.255.255 будет отправлен в туннель, всё остальное согласно локальной маршрутизации. Без этого весь трафик будет направлен в туннель, что будет неудобно для клиента.

Настройка Virtual-Template Interface (VTI)

При каждом VPN-подключении позволяет создаётся отдельный виртуальный интерфейс на основе шаблона VTI, виртуальный интерфейс работает подобно физическому, благодаря чему есть поддержка QoS, firewall, per-user attribtues и др.
Подробнее:
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.

Настраиваем WebVPN Gateway

WebVPN Gateway определяет IP адрес и порт, на котором будет жить anyconnect, а также encryption algorithm и PKI certificate.

Настройка WebVPN Context and Group Policy

WebVPN Context и Group Policy определяют ряд дополнительных параметров, которые будут использованы для подключения Anyconnect.
Context используется для кастомизации страницы и операций WebVPN.
Group Policy задаёт параметры подключения клиента: pool адресов, DNS и т.д.

Читайте также:  Skybox f5 настройка шары

Теперь внешний клиент может набрать в браузере:
https://31.24.93.198
После ввода имени и пароля установится приложение клиента, позволяющее получить доступ к внутренним ресурсам компании.

Anyconnect и разделение прав

Итак VPN клиент подключился и у нас всё прекрасно работает.
После этого, наверное первое что приходит в голову — это идея как-то разделять доступ между различными пользователями VPN, т.е. кому-то дать доступ ко всей сети, а кому-то может только к определённому IP адресу.
Вообще данная задача решается через использование ACL: например Cisco ASA позволяет использовать Downloadable ACL.

Автору так и не удалось применить на платформе cisco IOS Downloadable ACL или acl на основе av-pair.
К сожалению Cisco IOS позволяет разграничить права только на основе policy group.
Второе ограничение для IOS: принадлежность пользователя к policy group можно задать только через RADIUS.
Все эти ограничения делают настройки не такими удобными, но тем не менее задача реализуема.

Конфигурация будет примерно следующего вида:

Как видно, мы создали дополнительную policy group.
Единственное различие политики SSL_guest_Policy — это появление дополнительного ACL:
filter tunnel ssl_vpn_guest_acl
Принадлежность пользователей к политикам будут определяться через RADIUS.
Одна из групп должна быть определена как default-group-policy, на тот случай, если группа не определена явно.

В качестве RADIUS применяем Cisco ACS, рассмотрим его настройки:

    Создаётся Authorization Profile:
    Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles

Применяем по признаку принадлежности пользователя к группе Guest_access:

Проверка

Состояние пула адресов:
show ip local pool

Текущие сессии:
show webvpn session context all

Статистика по пользователю:
show webvpn session user vs context all

Статистика по туннелю:
show webvpn stats tunnel

Общая статистика:
show webvpn stats

Дебаг:
debug webvpn

SUPPORTING MULTIPLE GROUP POLICIES ON ANYCONNECT

Administrators and engineers who have worked with the classic Cisco IPSec VPN client will wonder how they can support multiple groups with different access rights using AnyConnect. The fact is that AnyConnect does support multiple groups, however it requires a radius server at the backend.

AnyConnect on a Cisco router without a radius server will only allow support for one group policy.

Источник

Использование карт сертификата маршрутизатора Cisco IOS для различения подключения пользователя между множественным примером конфигурации контекстов WebVPN

Параметры загрузки

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

Этот документ содержит пример конфигурации для маршрутизатора Cisco IOS® для конфигурации VPN уровня защищенных сокетов (SSL), в которой используются карты сертификата для авторизации подключения пользователя к специальному контексту WebVPN на маршрутизаторе. При этом используется двойная аутентификация: Сертификат, идентификатор пользователя и пароль.

Читайте также:  Настройки почтовых клиентов в mozilla thunderbird

Предварительные условия

Требования

Cisco рекомендует ознакомиться с конфигурацией VPN SSL на маршрутизаторах Cisco IOS.

Используемые компоненты

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Внимание. : Известная проблема с картами сертификата — это то, что пользователи с сертификатами, которые не соответствуют критериям, указанным в картах сертификата, по-прежнему могут связываться. Это документируется с идентификатором ошибки Cisco CSCug39152. Эта конфигурация только работает на версиях программного обеспечения IOS Cicso, в которых исправлена эта ошибка.

Настройка

В примере конфигурации из этого раздела используется множественный контекст WebVPN для удовлетворения требования, описанного во введении. У каждого пользователя в различных группах есть два фактора для их аутентификации: Сертификат, идентификатор пользователя и пароль. В этой определенной конфигурации, как только пользователи подтвердили свою подлинность, маршрутизатор дифференцирует конечных пользователей на основе их уникальной организационной единицы (OU), указанной в сертификате.

Схема сети

Шаг 1. Сгенерируйте сертификат идентификации маршрутизатора

Маршрутизатор использует сертификат идентификации для определения его идентичности конечному пользователю, который подключается к VPN SSL. Можно использовать генерируемый маршрутизатором недоверительный сертификат или сторонний сертификат на базе своих требований.

Шаг 2. Настройте карты сертификата

Карта сертификата используется для классификации входящих подключений клиентов VPN для определенных контекстов WebVPN. Эта классификация выполняется на базе критериев соответствия, настроенных в карте сертификата. Эта конфигурация показывает, как проверить поле OU в сертификате конечного пользователя.

Примечание: При настройке карт сертификата, если есть несколько экземпляров одной и той же карты сертификата, к ним применяется операция ИЛИ. Вместе с тем, если есть несколько правил, указанных в одном экземпляре карты сертификата, книмприменяется операция И. Например, в этой конфигурации любой сертификат, сгенерированный сервером, который содержит строку «Company» и либо содержит строку «DIAL» в имени темы, либо содержит «WAN» в компоненте организационной единицы, будет принят:

crypto pki certificate map Group 10M
issuer-name co Company
subject-name co DIAL
crypto pki certificate map Group 20
issuer-name co Company
subject-name co ou=WAN

Шаг 3. Настройте шлюз WebVPN

Шлюз WebVPN — это то место, в котором пользователи VPN устанавливают свои соединения. В его самой простой конфигурации это требует указания IP-адреса и ассоциированной точки доверия. Ассоциированная точка доверия «ID RTR» была создана действием 1 в рамках шлюза WebVPN.

Шаг 4. . Настройте контекст WebVPN

Контекст WebVPN используется для применения определенных политик к конечному пользователю при наличии подключения к VPN. В этом конкретном примере созданы два различных контекста, которые называются «finance» и «sales», для применения различных политик к каждой группе.

Шаг 5. . Настройте локального пользователя

Для удовлетворения требования ко второму механизму аутентификации настройте локальное имя пользователя и пароль.

Заключительная конфигурация маршрутизатора

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Проверка сертификата

Проверка VPN-подключения конечного пользователя

Устранение неполадок

Используйте команду debug для устранения проблемы.

Источник

Adblock
detector