ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров

Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.

В начало
Назад
1
Вперед
В конец

TOLLIFi
Автор темы
Не в сети
COM_KUNENA_SAMPLEDATA_RANK_MODERATOR
TOLLIFi Inc.

Больше

9 года 8 мес. назад - 7 года 2 мес. назад #118 от TOLLIFi

TOLLIFi создал тему: ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров

В данной теме будет рассмотрен вопрос организации Remote Access VPN (на клиенте AnyConnect и сетевом оборудовании Cisco ASA) с параллельным подключением через несколько провайдеров (ISP), а также приведены основные настройки конфигурации и профилей для VPN клиентов (AnyConnect Client Profile, ACCP). Для SSL при таком подключении может понадобиться сертификат UCC/SAN, описание и процедура установки которого приведена в статье Cisco + OpenSSL Windows: установка мульти-доменных сертификатов UCC/SAN (Subject Alternative Name) .

Схема сети:

Основные элементы сети и их назначение:

- NAT extended (Cisco 1811) - маршрутизатор, имеющий доступ в Интернет сразу через несколько провайдеров и выступающий в качестве шлюза по-умолчанию для ASA (поскольку в ASA можно создать лишь единственный маршрут по умолчанию, 0.0.0.0/0). Все SSL-запросы (https: //...) транслируются на ASA (стандартная трансляция адресов ip nat inside/outside, без NVI/'ip nat enable'!). Здесь подразумеваетя доступ к внутренним ресурсам из вне (для доступа внутренних пользователей в Интернет необходима дополнительная конфигурация NAT).
- AnyConnect VPN Gateway (ASA5510) - VPN-концентратор, осуществляющий подключение клиентов по следующим правилам:

шаг 1: при SSL-запросе, ASA использует сертификат TRUSTPOINT-ASA, по которому пользователь принимает решение, доверять узлу VPN или нет (обычно, при конфигурации сети 'multiple ISP', используется сертификат UCC/SAN );
шаг 2: после подтверждения клиентом сертификата узла VPN, ASA пытается аутентифицировать клиента по 'личному сертификату пользователя' с помощью сертификата CA TRUSTPOINT-USER;
шаг 2.1 (успешная аутентификация по сертификату): в зависимости от того к какому домену принадлежит сертификат пользователя (subdomain1.rus или subdomain2.rus) происходит подключение с параметрами той или иной 'tunnel-group' с назначением DNS-суффикса по-умолчанию, соответствующего личному сертификату. Далее шаг 3;
шаг 2.2 (в случае неудачной аутентификация по сертификату): ASA пытается осуществить RADIUS-аутентификацию клиента по логину и паролю, и в случае успеха подключить с параметрами 'tunnel-group' для этого способа аутентификации (AAA), назначается DNS-суффикс по-умолчанию SUBDOMAIN1.RUS. Далее шаг 3;
шаг 3: присваивается IP-адрес запрошенный с внешнего DHCP. Устанавливаются модули AnyConnect SBL ('vpngina' - Start Befor Logon, возможность подключиться к VPN-сети до входа в Windows) и AnyConnect DART ('dart' - Diagnostic AnyConnect Reporting Tool, модуль сбора диагностической информации для анализа сбоев при подключении, обычно требуется при обращении к специалистам тех.поддержки Cisco TAC). Обновляется/скачивается AnyConnect профиль (ACCP, '*.xml') для клиентского приложения, позволяющий настроить в автоматическом режиме Cisco AnyConnect Client, так как задумал администратор сети.

PrintScreen's:

ВНИМАНИЕ: Спойлер!

--- ПРИМЕР КОНФИГУРАЦИИ CISCO 1811 >>>

ВНИМАНИЕ: Спойлер!

!
hostname CE
!
vtp mode transparent
!
vlan 52
 name DMZ-v52
!
track 11 rtr 11 reachability
!
track 12 rtr 12 reachability
!
track 13 rtr 13 reachability
!
track 14 rtr 14 reachability
!
!
!
interface Loopback0
 description *** Static NAT Services ***
 ip address 192.168.0.1 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 ip policy route-map RMAP-LOOP0
!
interface FastEthernet0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0.10
 description *** ISP1 ***
 encapsulation dot1Q 10
 ip address 1.1.1.1 255.255.255.252
 ip access-group ACL-EDGE-FILTER-IN in
 ip access-group ACL-EDGE-FILTER-OUT out
 ip nat outside
!
interface FastEthernet0.20
 description *** ISP2 ***
 encapsulation dot1Q 20
 ip address 2.2.2.1 255.255.255.252
 ip access-group ACL-EDGE-FILTER-IN in
 ip access-group ACL-EDGE-FILTER-OUT out
 ip nat outside
!
interface FastEthernet0.30
 description *** ISP3 ***
 encapsulation dot1Q 30
 ip address 3.3.3.1 255.255.255.252
 ip access-group ACL-EDGE-FILTER-IN in
 ip access-group ACL-EDGE-FILTER-OUT out
 ip nat outside
!
interface FastEthernet0.40
 description *** ISP4 ***
 encapsulation dot1Q 40
 ip address 4.4.4.1 255.255.255.252
 ip access-group ACL-EDGE-FILTER-IN in
 ip access-group ACL-EDGE-FILTER-OUT out
 ip nat outside
!
interface FastEthernet2
 description *** ASA ***
 switchport mode trunk
!
interface Vlan52
 ip address 172.21.254.21 255.255.255.248
 ip nat inside
 ip policy route-map RMAP-LAN
 standby 52 ip 172.21.254.22
 standby 52 priority 254
 standby 52 name MGMT-DMZ-HSRP
!
ip route 0.0.0.0 0.0.0.0 1.1.1.2 track 11
ip route 0.0.0.0 0.0.0.0 2.2.2.2 track 12
ip route 0.0.0.0 0.0.0.0 3.3.3.2 track 13
ip route 0.0.0.0 0.0.0.0 4.4.4.2 track 14
ip route 10.0.0.0 255.0.0.0 172.21.254.17
!
!
ip nat inside source static tcp 172.21.254.17 443 1.1.1.1 443 route-map RMAP-ISP1 extendable
ip nat inside source static tcp 172.21.254.17 443 2.2.2.1 443 route-map RMAP-ISP2 extendable
ip nat inside source static tcp 172.21.254.17 443 3.3.3.1 443 route-map RMAP-ISP3 extendable
ip nat inside source static tcp 172.21.254.17 443 4.4.4.1 443 route-map RMAP-ISP4 extendable
!
ip access-list extended ACL-EDGE-FILTER-IN
 permit tcp any any eq 443
 evaluate RFLX-ACL
 permit icmp any any
 permit icmp any any time-exceeded
 permit icmp any any packet-too-big
 permit icmp any any traceroute
 permit icmp any any unreachable
ip access-list extended ACL-EDGE-FILTER-OUT
 permit ip any any reflect RFLX-ACL
ip access-list extended STATIC-NAT-ISP1
 permit ip host 1.1.1.1 any
ip access-list extended STATIC-NAT-ISP2
 permit ip host 2.2.2.1 any
ip access-list extended STATIC-NAT-ISP3
 permit ip host 3.3.3.1 any
ip access-list extended STATIC-NAT-ISP4
 permit ip host 4.4.4.1 any
ip access-list extended STATIC-NAT-SERVICES
 permit ip host 172.21.254.17 any

!
ip sla 11
 icmp-echo 1.1.1.2 source-ip 1.1.1.1
 threshold 2000
 frequency 10
 history hours-of-statistics-kept 24
 history lives-kept 1
 history filter failures
ip sla schedule 11 life forever start-time now
ip sla 12
 icmp-echo 2.2.2.2 source-ip 2.2.2.1
 threshold 2000
 frequency 10
 history hours-of-statistics-kept 24
 history lives-kept 1
 history filter failures
ip sla schedule 12 life forever start-time now
ip sla 13
 icmp-echo 3.3.3.2 source-ip 3.3.3.1
 threshold 2000
 frequency 10
 history hours-of-statistics-kept 24
 history lives-kept 1
 history filter failures
ip sla schedule 13 life forever start-time now
ip sla 14
 icmp-echo 4.4.4.2 source-ip 4.4.4.1
 threshold 2000
 frequency 10
 history hours-of-statistics-kept 24
 history lives-kept 1
 history filter failures
ip sla schedule 14 life forever start-time now
!
access-list 1 permit 1.1.1.2
access-list 2 permit 2.2.2.2
access-list 3 permit 3.3.3.2
access-list 4 permit 4.4.4.2
!
route-map RMAP-LOOP0 permit 10
 match ip address STATIC-NAT-ISP1
 set ip next-hop 1.1.1.2
!
route-map RMAP-LOOP0 permit 20
 match ip address STATIC-NAT-ISP2
 set ip next-hop 2.2.2.2
!
route-map RMAP-LOOP0 permit 30
 match ip address STATIC-NAT-ISP3
 set ip next-hop 3.3.3.2
!
route-map RMAP-LOOP0 permit 40
 match ip address STATIC-NAT-ISP4
 set ip next-hop 4.4.4.2
!
route-map RMAP-ISP1 permit 10
 match ip next-hop 1
!
route-map RMAP-ISP2 permit 10
 match ip next-hop 2
!
route-map RMAP-ISP3 permit 10
 match ip next-hop 3
!
route-map RMAP-ISP4 permit 10
 match ip next-hop 4
!
route-map RMAP-LAN permit 10
 match ip address STATIC-NAT-SERVICES
 set ip next-hop 192.168.0.2
!

Примечания:

- ip access-list extended ACL-EDGE-FILTER-IN (ACL-EDGE-FILTER-OUT) - Reflexive ACL,осуществляющие функции Firewall. Альтернативные вариант - Zone-Base Policy Firewall ;
- route-map RMAP-LAN - определяет и перенаправляет весь трафик публикуемых серверов в интерфейс Loopback0 (192.168.0.1, в одной подсети с 'ip next-hop 192.168.0.2') для дальнейшей обработки (IP-адрес Loopback0 и 'ip next-hop' могут быть любыми, с одним условием: они должны быть в одной подсети). Важно! В некоторых моделях маршрутизаторов Cisco 'set ip next-hop ...' не срабатывает (причем так было в данном конкретном случае с Cisco 2851), выяснить причины тому так и не удалось. Тогда вместо 'set ip next-hop ...', можно прописать 'set interface ...' ('set interface Loopback0'), при этом будет выдано предупреждение, что лучше это делать только для P2P-интерфейсов, но тем не менее все работает как надо;
- трафик, поступая в Loopback0, сначала обрабатывается сервисом NAT ('ip nat outside'), где "серый" IP-адрес источника сервера заменяется на "белый" внешний адрес, на который изначально поступал пакет из Internet;
- route-map RMAP-LOOP0 - фиксирует внешний адрес источника сервера и назначает 'ip next-hop' на соответствующий этой же подсети адрес шлюза по-умолчанию;
- ip nat inside source static ... extendable - стандартная статическая трансляция адреса и порта, параметр 'extendable' необходимо указывать, если сервер публикуется (транслируется) на двух и более внешних IP-адресах.

--- ПРИМЕР КОНФИГУРАЦИИ CISCO ASA >>>

ВНИМАНИЕ: Спойлер!

!
hostname ASA
domain-name RUS
!
interface Ethernet0/0
 no nameif
 security-level 0
 no ip address
!
interface Ethernet0/0.118
 vlan 118
 nameif INSIDE
 security-level 100
 ip address 10.254.34.10 255.255.254.0 
!
interface Ethernet0/3
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3.52
 vlan 52
 nameif OUTSIDE
 security-level 0
 ip address 172.21.254.17 255.255.255.248 
!
boot system disk0:/asa844-1-k8.bin
!
access-list ACL-SPLIT-TUNNEL standard permit 10.0.0.0 255.0.0.0 
!
logging enable
logging timestamp
logging buffer-size 65536
logging buffered notifications
logging asdm informational
logging class auth buffered debugging 
logging class webvpn buffered debugging 
logging class svc buffered debugging 
logging class ssl buffered debugging 
!
mtu INSIDE 1500
mtu OUTSIDE 1500
icmp permit any INSIDE
icmp permit any OUTSIDE
!
asdm image disk0:/asdm-649-103.bin
!
route OUTSIDE 0.0.0.0 0.0.0.0 172.21.254.22 1
route INSIDE 10.0.0.0 255.0.0.0 10.254.34.1 1
aaa-server RADIUS protocol radius
 reactivation-mode depletion deadtime 3
aaa-server RADIUS (INSIDE) host 10.0.0.1
 key PaSsWoRd
aaa-server RADIUS (INSIDE) host 10.0.0.2
 key PaSsWoRd
http server enable 444
http 10.0.0.0 255.0.0.0 INSIDE
!
crypto ca trustpoint TRUSTPOINT-USER
 enrollment terminal
 client-types ssl
 crl configure
crypto ca trustpoint TRUSTPOINT-ASA
 enrollment terminal
 fqdn vpn.mydomain.com
 keypair TRUSTPOINT-ASA
 no client-types
 crl configure
crypto ca certificate map CMAP-DC-SUB1 10
 subject-name co dc = subdomain1, dc = rus
crypto ca certificate map CMAP-DC-SUB2 10
 subject-name co dc = subdomain2, dc = rus
crypto ca certificate chain TRUSTPOINT-USER
 certificate ca 69dd3b8f...
    ...
  quit
crypto ca certificate chain TRUSTPOINT-ASA
 certificate 2fc7eb56000...
    ...
  quit
!
no vpn-addr-assign aaa
no vpn-addr-assign local
!
ssl encryption rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
ssl trust-point TRUSTPOINT-ASA OUTSIDE
webvpn
 enable OUTSIDE
 csd hostscan image disk0:/anyconnect-win-3.1.00495-k9.pkg
 anyconnect image disk0:/anyconnect-win-3.1.00495-k9.pkg 1
 anyconnect image disk0:/anyconnect-macosx-i386-3.1.00495-k9.pkg 2
 anyconnect image disk0:/anyconnect-linux-3.1.00495-k9.pkg 3
 anyconnect profiles ACCP-GP-AAA disk0:/profiles/accp-gp-aaa.xml
 anyconnect profiles ACCP-GP-CERT disk0:/profiles/accp-gp-cert.xml
 anyconnect enable
 tunnel-group-list enable
 default-language ru
 certificate-group-map CMAP-DC-SUB1 10 TG-CERT-SUB1
 certificate-group-map CMAP-DC-SUB2 10 TG-CERT-SUB2
group-policy GP-CERT-SUB1 internal
group-policy GP-CERT-SUB1 attributes
 dns-server value 10.0.0.1 10.0.0.2
 vpn-idle-timeout 60
 vpn-idle-timeout alert-interval 5
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value ACL-SPLIT-TUNNEL
 default-domain value SUBDOMAIN1.RUS
 webvpn
  anyconnect mtu 1171
  anyconnect keep-installer installed
  anyconnect ssl rekey time 30
  anyconnect ssl rekey method ssl
  anyconnect modules value dart,vpngina
  anyconnect profiles value ACCP-GP-CERT type user
  anyconnect ask enable default anyconnect timeout 10
group-policy GP-CERT-SUB2 internal
group-policy GP-CERT-SUB2 attributes
 dns-server value 10.0.0.1 10.0.0.2
 vpn-idle-timeout 60
 vpn-idle-timeout alert-interval 5
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value ACL-SPLIT-TUNNEL
 default-domain value SUBDOMAIN2.RUS
 webvpn
  anyconnect mtu 1171
  anyconnect keep-installer installed
  anyconnect ssl rekey time 30
  anyconnect ssl rekey method ssl
  anyconnect modules value dart,vpngina
  anyconnect profiles value ACCP-GP-CERT type user
  anyconnect ask enable default anyconnect timeout 10
group-policy GP-AAA internal
group-policy GP-AAA attributes
 dns-server value 10.0.0.1 10.0.0.2
 vpn-idle-timeout 60
 vpn-idle-timeout alert-interval 5
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value ACL-SPLIT-TUNNEL
 default-domain value SUBDOMAIN1.RUS
 webvpn
  anyconnect mtu 1171
  anyconnect keep-installer installed
  anyconnect ssl rekey time 30
  anyconnect ssl rekey method ssl
  anyconnect modules value dart,vpngina
  anyconnect profiles value ACCP-GP-AAA type user
  anyconnect ask enable default anyconnect timeout 10
tunnel-group TG-AAA type remote-access
tunnel-group TG-AAA general-attributes
 authentication-server-group RADIUS
 default-group-policy GP-AAA
 dhcp-server 10.254.34.2
 dhcp-server 10.254.34.3
tunnel-group TG-AAA webvpn-attributes
 group-alias login enable
 group-url https://vpn.mydomain.com/login enable
 group-url https://vpn1.mydomain.com/login enable
 group-url https://vpn2.mydomain.com/login enable
 group-url https://vpn3.mydomain.com/login enable
 group-url https://vpn4.mydomain.com/login enable
tunnel-group TG-CERT-SUB1 type remote-access
tunnel-group TG-CERT-SUB1 general-attributes
 default-group-policy GP-CERT-SUB1
 dhcp-server 10.254.34.2
 dhcp-server 10.254.34.3
tunnel-group TG-CERT-SUB1 webvpn-attributes
 authentication certificate
 group-alias cert disable
 group-url https://vpn.mydomain.com/cert enable
 group-url https://vpn1.mydomain.com/cert enable
 group-url https://vpn2.mydomain.com/cert enable
 group-url https://vpn3.mydomain.com/cert enable
 group-url https://vpn4.mydomain.com/cert enable
tunnel-group TG-CERT-SUB2 type remote-access
tunnel-group TG-CERT-SUB2 general-attributes
 default-group-policy GP-CERT-SUB2
 dhcp-server 10.254.34.2
 dhcp-server 10.254.34.3
tunnel-group TG-CERT-SUB2 webvpn-attributes
 authentication certificate
tunnel-group-map default-group TG-CERT-SUB1
!

Примечания:

- crypto ca trustpoint TRUSTPOINT-USER - Trustpoint используется для аутентификации пользователя SSL VPN;
- crypto ca trustpoint TRUSTPOINT-ASA - Trustpoint используется для аутентификации ASA и шифрования SSL VPN;
- certificate-group-map CMAP-DC-SUB1 10 TG-CERT-SUB1 (CMAP-DC-SUB2 10 TG-CERT-SUB2) - автоматическое назначение Tunnel-Group в зависимости от сертификата пользователя.
- reactivation-mode depletion deadtime 3 - в случае недоступности серверов (ASA отмечает их как 'inactive'), эта команда задает режим "восстановления" серверов (автоматического перевода в 'active'): 'depletion' - переводить в по-очереди сервера в состояние 'active', только после того как все сервера в группе будут в состоянии 'inactive'; 'deadtime 3' - время (в мин.), которое должно пройти с момента перехода всех серверов в группе в состояние 'inactive', до начала их восстановления (по-умолчанию - 10 мин.).

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.

Последнее редактирование: 7 года 2 мес. назад пользователем TOLLIFi.

Пожалуйста Войти , чтобы присоединиться к беседе.

PNV
Не в сети
COM_KUNENA_SAMPLEDATA_RANK_MODERATOR

Больше

8 года 3 мес. назад - 8 года 3 мес. назад #181 от PNV

PNV ответил в теме ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров

Некоторые дополнения:

1) Чтобы ASA пропускала трафик для VPN-клиентов, необходимо добавить строчку:

sysopt connection permit-vpn

2) Для тех, кто не хочет заморачиваться с RADIUS и сертификатами, а просто хочет быстро настроить VPN автономно на ASA c локальными учетными записями.
Добавляем локальный dhcp-pool и локальную аутентификацию пользователей:

ip local pool VPN-Pool 10.0.1.50-10.0.1.100 mask 255.255.255.0

tunnel-group Users general-attributes
 address-pool VPN-Pool
 authentication-server-group LOCAL

Добавляем локальных пользователей:

username user1 password VLdw5DfLq7Y43VOx encrypted privilege 0
username user1 attributes
 service-type remote-access
username user2 password Yukhui5DfLq7Y43dwd encrypted privilege 0
username user2 attributes
 service-type remote-access

Таким образом остальные строчки конфига, касаемо сертификатов и RADIUS, можно не прописывать.

Последнее редактирование: 8 года 3 мес. назад пользователем PNV.

Пожалуйста Войти , чтобы присоединиться к беседе.

В начало
Назад
1
Вперед
В конец

Joomla Templates Best Joomla Templates Premium Joomla Templates Free Joomla Templates

Forum Login

Работает на Kunena форум

ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров

Вложения: