- Форум
- /
- IT и телекоммуникации
- /
- Конфигурация сетевого оборудования
- /
- ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров
ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров
Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.
9 года 8 мес. назад - 7 года 2 мес. назад #118
от TOLLIFi
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
TOLLIFi создал тему: ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров
В данной теме будет рассмотрен вопрос организации Remote Access VPN (на клиенте AnyConnect и сетевом оборудовании Cisco ASA) с параллельным подключением через несколько провайдеров (ISP), а также приведены основные настройки конфигурации и профилей для VPN клиентов (AnyConnect Client Profile, ACCP). Для SSL при таком подключении может понадобиться сертификат UCC/SAN, описание и процедура установки которого приведена в статье
Cisco + OpenSSL Windows: установка мульти-доменных сертификатов UCC/SAN (Subject Alternative Name)
.
Схема сети:
Основные элементы сети и их назначение:
- NAT extended (Cisco 1811) - маршрутизатор, имеющий доступ в Интернет сразу через несколько провайдеров и выступающий в качестве шлюза по-умолчанию для ASA (поскольку в ASA можно создать лишь единственный маршрут по умолчанию, 0.0.0.0/0). Все SSL-запросы (https: //...) транслируются на ASA (стандартная трансляция адресов ip nat inside/outside, без NVI/'ip nat enable'!). Здесь подразумеваетя доступ к внутренним ресурсам из вне (для доступа внутренних пользователей в Интернет необходима дополнительная конфигурация NAT).
- AnyConnect VPN Gateway (ASA5510) - VPN-концентратор, осуществляющий подключение клиентов по следующим правилам:
шаг 1: при SSL-запросе, ASA использует сертификат TRUSTPOINT-ASA, по которому пользователь принимает решение, доверять узлу VPN или нет (обычно, при конфигурации сети 'multiple ISP', используется сертификат UCC/SAN );
шаг 2: после подтверждения клиентом сертификата узла VPN, ASA пытается аутентифицировать клиента по 'личному сертификату пользователя' с помощью сертификата CA TRUSTPOINT-USER;
шаг 2.1 (успешная аутентификация по сертификату): в зависимости от того к какому домену принадлежит сертификат пользователя (subdomain1.rus или subdomain2.rus) происходит подключение с параметрами той или иной 'tunnel-group' с назначением DNS-суффикса по-умолчанию, соответствующего личному сертификату. Далее шаг 3;
шаг 2.2 (в случае неудачной аутентификация по сертификату): ASA пытается осуществить RADIUS-аутентификацию клиента по логину и паролю, и в случае успеха подключить с параметрами 'tunnel-group' для этого способа аутентификации (AAA), назначается DNS-суффикс по-умолчанию SUBDOMAIN1.RUS. Далее шаг 3;
шаг 3: присваивается IP-адрес запрошенный с внешнего DHCP. Устанавливаются модули AnyConnect SBL ('vpngina' - Start Befor Logon, возможность подключиться к VPN-сети до входа в Windows) и AnyConnect DART ('dart' - Diagnostic AnyConnect Reporting Tool, модуль сбора диагностической информации для анализа сбоев при подключении, обычно требуется при обращении к специалистам тех.поддержки Cisco TAC). Обновляется/скачивается AnyConnect профиль (ACCP, '*.xml') для клиентского приложения, позволяющий настроить в автоматическом режиме Cisco AnyConnect Client, так как задумал администратор сети.
PrintScreen's:
--- ПРИМЕР КОНФИГУРАЦИИ CISCO 1811 >>>
Примечания:
- ip access-list extended ACL-EDGE-FILTER-IN (ACL-EDGE-FILTER-OUT) - Reflexive ACL,осуществляющие функции Firewall. Альтернативные вариант - Zone-Base Policy Firewall ;
- route-map RMAP-LAN - определяет и перенаправляет весь трафик публикуемых серверов в интерфейс Loopback0 (192.168.0.1, в одной подсети с 'ip next-hop 192.168.0.2') для дальнейшей обработки (IP-адрес Loopback0 и 'ip next-hop' могут быть любыми, с одним условием: они должны быть в одной подсети). Важно! В некоторых моделях маршрутизаторов Cisco 'set ip next-hop ...' не срабатывает (причем так было в данном конкретном случае с Cisco 2851), выяснить причины тому так и не удалось. Тогда вместо 'set ip next-hop ...', можно прописать 'set interface ...' ('set interface Loopback0'), при этом будет выдано предупреждение, что лучше это делать только для P2P-интерфейсов, но тем не менее все работает как надо;
- трафик, поступая в Loopback0, сначала обрабатывается сервисом NAT ('ip nat outside'), где "серый" IP-адрес источника сервера заменяется на "белый" внешний адрес, на который изначально поступал пакет из Internet;
- route-map RMAP-LOOP0 - фиксирует внешний адрес источника сервера и назначает 'ip next-hop' на соответствующий этой же подсети адрес шлюза по-умолчанию;
- ip nat inside source static ... extendable - стандартная статическая трансляция адреса и порта, параметр 'extendable' необходимо указывать, если сервер публикуется (транслируется) на двух и более внешних IP-адресах.
--- ПРИМЕР КОНФИГУРАЦИИ CISCO ASA >>>
Примечания:
- crypto ca trustpoint TRUSTPOINT-USER - Trustpoint используется для аутентификации пользователя SSL VPN;
- crypto ca trustpoint TRUSTPOINT-ASA - Trustpoint используется для аутентификации ASA и шифрования SSL VPN;
- certificate-group-map CMAP-DC-SUB1 10 TG-CERT-SUB1 (CMAP-DC-SUB2 10 TG-CERT-SUB2) - автоматическое назначение Tunnel-Group в зависимости от сертификата пользователя.
- reactivation-mode depletion deadtime 3 - в случае недоступности серверов (ASA отмечает их как 'inactive'), эта команда задает режим "восстановления" серверов (автоматического перевода в 'active'): 'depletion' - переводить в по-очереди сервера в состояние 'active', только после того как все сервера в группе будут в состоянии 'inactive'; 'deadtime 3' - время (в мин.), которое должно пройти с момента перехода всех серверов в группе в состояние 'inactive', до начала их восстановления (по-умолчанию - 10 мин.).
Схема сети:
Основные элементы сети и их назначение:
- NAT extended (Cisco 1811) - маршрутизатор, имеющий доступ в Интернет сразу через несколько провайдеров и выступающий в качестве шлюза по-умолчанию для ASA (поскольку в ASA можно создать лишь единственный маршрут по умолчанию, 0.0.0.0/0). Все SSL-запросы (https: //...) транслируются на ASA (стандартная трансляция адресов ip nat inside/outside, без NVI/'ip nat enable'!). Здесь подразумеваетя доступ к внутренним ресурсам из вне (для доступа внутренних пользователей в Интернет необходима дополнительная конфигурация NAT).
- AnyConnect VPN Gateway (ASA5510) - VPN-концентратор, осуществляющий подключение клиентов по следующим правилам:
шаг 1: при SSL-запросе, ASA использует сертификат TRUSTPOINT-ASA, по которому пользователь принимает решение, доверять узлу VPN или нет (обычно, при конфигурации сети 'multiple ISP', используется сертификат UCC/SAN );
шаг 2: после подтверждения клиентом сертификата узла VPN, ASA пытается аутентифицировать клиента по 'личному сертификату пользователя' с помощью сертификата CA TRUSTPOINT-USER;
шаг 2.1 (успешная аутентификация по сертификату): в зависимости от того к какому домену принадлежит сертификат пользователя (subdomain1.rus или subdomain2.rus) происходит подключение с параметрами той или иной 'tunnel-group' с назначением DNS-суффикса по-умолчанию, соответствующего личному сертификату. Далее шаг 3;
шаг 2.2 (в случае неудачной аутентификация по сертификату): ASA пытается осуществить RADIUS-аутентификацию клиента по логину и паролю, и в случае успеха подключить с параметрами 'tunnel-group' для этого способа аутентификации (AAA), назначается DNS-суффикс по-умолчанию SUBDOMAIN1.RUS. Далее шаг 3;
шаг 3: присваивается IP-адрес запрошенный с внешнего DHCP. Устанавливаются модули AnyConnect SBL ('vpngina' - Start Befor Logon, возможность подключиться к VPN-сети до входа в Windows) и AnyConnect DART ('dart' - Diagnostic AnyConnect Reporting Tool, модуль сбора диагностической информации для анализа сбоев при подключении, обычно требуется при обращении к специалистам тех.поддержки Cisco TAC). Обновляется/скачивается AnyConnect профиль (ACCP, '*.xml') для клиентского приложения, позволяющий настроить в автоматическом режиме Cisco AnyConnect Client, так как задумал администратор сети.
PrintScreen's:
--- ПРИМЕР КОНФИГУРАЦИИ CISCO 1811 >>>
ВНИМАНИЕ: Спойлер!
!
hostname CE
!
vtp mode transparent
!
vlan 52
name DMZ-v52
!
track 11 rtr 11 reachability
!
track 12 rtr 12 reachability
!
track 13 rtr 13 reachability
!
track 14 rtr 14 reachability
!
!
!
interface Loopback0
description *** Static NAT Services ***
ip address 192.168.0.1 255.255.255.252
ip nat outside
ip virtual-reassembly
ip policy route-map RMAP-LOOP0
!
interface FastEthernet0
no ip address
duplex auto
speed auto
!
interface FastEthernet0.10
description *** ISP1 ***
encapsulation dot1Q 10
ip address 1.1.1.1 255.255.255.252
ip access-group ACL-EDGE-FILTER-IN in
ip access-group ACL-EDGE-FILTER-OUT out
ip nat outside
!
interface FastEthernet0.20
description *** ISP2 ***
encapsulation dot1Q 20
ip address 2.2.2.1 255.255.255.252
ip access-group ACL-EDGE-FILTER-IN in
ip access-group ACL-EDGE-FILTER-OUT out
ip nat outside
!
interface FastEthernet0.30
description *** ISP3 ***
encapsulation dot1Q 30
ip address 3.3.3.1 255.255.255.252
ip access-group ACL-EDGE-FILTER-IN in
ip access-group ACL-EDGE-FILTER-OUT out
ip nat outside
!
interface FastEthernet0.40
description *** ISP4 ***
encapsulation dot1Q 40
ip address 4.4.4.1 255.255.255.252
ip access-group ACL-EDGE-FILTER-IN in
ip access-group ACL-EDGE-FILTER-OUT out
ip nat outside
!
interface FastEthernet2
description *** ASA ***
switchport mode trunk
!
interface Vlan52
ip address 172.21.254.21 255.255.255.248
ip nat inside
ip policy route-map RMAP-LAN
standby 52 ip 172.21.254.22
standby 52 priority 254
standby 52 name MGMT-DMZ-HSRP
!
ip route 0.0.0.0 0.0.0.0 1.1.1.2 track 11
ip route 0.0.0.0 0.0.0.0 2.2.2.2 track 12
ip route 0.0.0.0 0.0.0.0 3.3.3.2 track 13
ip route 0.0.0.0 0.0.0.0 4.4.4.2 track 14
ip route 10.0.0.0 255.0.0.0 172.21.254.17
!
!
ip nat inside source static tcp 172.21.254.17 443 1.1.1.1 443 route-map RMAP-ISP1 extendable
ip nat inside source static tcp 172.21.254.17 443 2.2.2.1 443 route-map RMAP-ISP2 extendable
ip nat inside source static tcp 172.21.254.17 443 3.3.3.1 443 route-map RMAP-ISP3 extendable
ip nat inside source static tcp 172.21.254.17 443 4.4.4.1 443 route-map RMAP-ISP4 extendable
!
ip access-list extended ACL-EDGE-FILTER-IN
permit tcp any any eq 443
evaluate RFLX-ACL
permit icmp any any
permit icmp any any time-exceeded
permit icmp any any packet-too-big
permit icmp any any traceroute
permit icmp any any unreachable
ip access-list extended ACL-EDGE-FILTER-OUT
permit ip any any reflect RFLX-ACL
ip access-list extended STATIC-NAT-ISP1
permit ip host 1.1.1.1 any
ip access-list extended STATIC-NAT-ISP2
permit ip host 2.2.2.1 any
ip access-list extended STATIC-NAT-ISP3
permit ip host 3.3.3.1 any
ip access-list extended STATIC-NAT-ISP4
permit ip host 4.4.4.1 any
ip access-list extended STATIC-NAT-SERVICES
permit ip host 172.21.254.17 any
!
ip sla 11
icmp-echo 1.1.1.2 source-ip 1.1.1.1
threshold 2000
frequency 10
history hours-of-statistics-kept 24
history lives-kept 1
history filter failures
ip sla schedule 11 life forever start-time now
ip sla 12
icmp-echo 2.2.2.2 source-ip 2.2.2.1
threshold 2000
frequency 10
history hours-of-statistics-kept 24
history lives-kept 1
history filter failures
ip sla schedule 12 life forever start-time now
ip sla 13
icmp-echo 3.3.3.2 source-ip 3.3.3.1
threshold 2000
frequency 10
history hours-of-statistics-kept 24
history lives-kept 1
history filter failures
ip sla schedule 13 life forever start-time now
ip sla 14
icmp-echo 4.4.4.2 source-ip 4.4.4.1
threshold 2000
frequency 10
history hours-of-statistics-kept 24
history lives-kept 1
history filter failures
ip sla schedule 14 life forever start-time now
!
access-list 1 permit 1.1.1.2
access-list 2 permit 2.2.2.2
access-list 3 permit 3.3.3.2
access-list 4 permit 4.4.4.2
!
route-map RMAP-LOOP0 permit 10
match ip address STATIC-NAT-ISP1
set ip next-hop 1.1.1.2
!
route-map RMAP-LOOP0 permit 20
match ip address STATIC-NAT-ISP2
set ip next-hop 2.2.2.2
!
route-map RMAP-LOOP0 permit 30
match ip address STATIC-NAT-ISP3
set ip next-hop 3.3.3.2
!
route-map RMAP-LOOP0 permit 40
match ip address STATIC-NAT-ISP4
set ip next-hop 4.4.4.2
!
route-map RMAP-ISP1 permit 10
match ip next-hop 1
!
route-map RMAP-ISP2 permit 10
match ip next-hop 2
!
route-map RMAP-ISP3 permit 10
match ip next-hop 3
!
route-map RMAP-ISP4 permit 10
match ip next-hop 4
!
route-map RMAP-LAN permit 10
match ip address STATIC-NAT-SERVICES
set ip next-hop 192.168.0.2
!
- ip access-list extended ACL-EDGE-FILTER-IN (ACL-EDGE-FILTER-OUT) - Reflexive ACL,осуществляющие функции Firewall. Альтернативные вариант - Zone-Base Policy Firewall ;
- route-map RMAP-LAN - определяет и перенаправляет весь трафик публикуемых серверов в интерфейс Loopback0 (192.168.0.1, в одной подсети с 'ip next-hop 192.168.0.2') для дальнейшей обработки (IP-адрес Loopback0 и 'ip next-hop' могут быть любыми, с одним условием: они должны быть в одной подсети). Важно! В некоторых моделях маршрутизаторов Cisco 'set ip next-hop ...' не срабатывает (причем так было в данном конкретном случае с Cisco 2851), выяснить причины тому так и не удалось. Тогда вместо 'set ip next-hop ...', можно прописать 'set interface ...' ('set interface Loopback0'), при этом будет выдано предупреждение, что лучше это делать только для P2P-интерфейсов, но тем не менее все работает как надо;
- трафик, поступая в Loopback0, сначала обрабатывается сервисом NAT ('ip nat outside'), где "серый" IP-адрес источника сервера заменяется на "белый" внешний адрес, на который изначально поступал пакет из Internet;
- route-map RMAP-LOOP0 - фиксирует внешний адрес источника сервера и назначает 'ip next-hop' на соответствующий этой же подсети адрес шлюза по-умолчанию;
- ip nat inside source static ... extendable - стандартная статическая трансляция адреса и порта, параметр 'extendable' необходимо указывать, если сервер публикуется (транслируется) на двух и более внешних IP-адресах.
--- ПРИМЕР КОНФИГУРАЦИИ CISCO ASA >>>
ВНИМАНИЕ: Спойлер!
!
hostname ASA
domain-name RUS
!
interface Ethernet0/0
no nameif
security-level 0
no ip address
!
interface Ethernet0/0.118
vlan 118
nameif INSIDE
security-level 100
ip address 10.254.34.10 255.255.254.0
!
interface Ethernet0/3
no nameif
no security-level
no ip address
!
interface Ethernet0/3.52
vlan 52
nameif OUTSIDE
security-level 0
ip address 172.21.254.17 255.255.255.248
!
boot system disk0:/asa844-1-k8.bin
!
access-list ACL-SPLIT-TUNNEL standard permit 10.0.0.0 255.0.0.0
!
logging enable
logging timestamp
logging buffer-size 65536
logging buffered notifications
logging asdm informational
logging class auth buffered debugging
logging class webvpn buffered debugging
logging class svc buffered debugging
logging class ssl buffered debugging
!
mtu INSIDE 1500
mtu OUTSIDE 1500
icmp permit any INSIDE
icmp permit any OUTSIDE
!
asdm image disk0:/asdm-649-103.bin
!
route OUTSIDE 0.0.0.0 0.0.0.0 172.21.254.22 1
route INSIDE 10.0.0.0 255.0.0.0 10.254.34.1 1
aaa-server RADIUS protocol radius
reactivation-mode depletion deadtime 3
aaa-server RADIUS (INSIDE) host 10.0.0.1
key PaSsWoRd
aaa-server RADIUS (INSIDE) host 10.0.0.2
key PaSsWoRd
http server enable 444
http 10.0.0.0 255.0.0.0 INSIDE
!
crypto ca trustpoint TRUSTPOINT-USER
enrollment terminal
client-types ssl
crl configure
crypto ca trustpoint TRUSTPOINT-ASA
enrollment terminal
fqdn vpn.mydomain.com
keypair TRUSTPOINT-ASA
no client-types
crl configure
crypto ca certificate map CMAP-DC-SUB1 10
subject-name co dc = subdomain1, dc = rus
crypto ca certificate map CMAP-DC-SUB2 10
subject-name co dc = subdomain2, dc = rus
crypto ca certificate chain TRUSTPOINT-USER
certificate ca 69dd3b8f...
...
quit
crypto ca certificate chain TRUSTPOINT-ASA
certificate 2fc7eb56000...
...
quit
!
no vpn-addr-assign aaa
no vpn-addr-assign local
!
ssl encryption rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
ssl trust-point TRUSTPOINT-ASA OUTSIDE
webvpn
enable OUTSIDE
csd hostscan image disk0:/anyconnect-win-3.1.00495-k9.pkg
anyconnect image disk0:/anyconnect-win-3.1.00495-k9.pkg 1
anyconnect image disk0:/anyconnect-macosx-i386-3.1.00495-k9.pkg 2
anyconnect image disk0:/anyconnect-linux-3.1.00495-k9.pkg 3
anyconnect profiles ACCP-GP-AAA disk0:/profiles/accp-gp-aaa.xml
anyconnect profiles ACCP-GP-CERT disk0:/profiles/accp-gp-cert.xml
anyconnect enable
tunnel-group-list enable
default-language ru
certificate-group-map CMAP-DC-SUB1 10 TG-CERT-SUB1
certificate-group-map CMAP-DC-SUB2 10 TG-CERT-SUB2
group-policy GP-CERT-SUB1 internal
group-policy GP-CERT-SUB1 attributes
dns-server value 10.0.0.1 10.0.0.2
vpn-idle-timeout 60
vpn-idle-timeout alert-interval 5
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ACL-SPLIT-TUNNEL
default-domain value SUBDOMAIN1.RUS
webvpn
anyconnect mtu 1171
anyconnect keep-installer installed
anyconnect ssl rekey time 30
anyconnect ssl rekey method ssl
anyconnect modules value dart,vpngina
anyconnect profiles value ACCP-GP-CERT type user
anyconnect ask enable default anyconnect timeout 10
group-policy GP-CERT-SUB2 internal
group-policy GP-CERT-SUB2 attributes
dns-server value 10.0.0.1 10.0.0.2
vpn-idle-timeout 60
vpn-idle-timeout alert-interval 5
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ACL-SPLIT-TUNNEL
default-domain value SUBDOMAIN2.RUS
webvpn
anyconnect mtu 1171
anyconnect keep-installer installed
anyconnect ssl rekey time 30
anyconnect ssl rekey method ssl
anyconnect modules value dart,vpngina
anyconnect profiles value ACCP-GP-CERT type user
anyconnect ask enable default anyconnect timeout 10
group-policy GP-AAA internal
group-policy GP-AAA attributes
dns-server value 10.0.0.1 10.0.0.2
vpn-idle-timeout 60
vpn-idle-timeout alert-interval 5
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ACL-SPLIT-TUNNEL
default-domain value SUBDOMAIN1.RUS
webvpn
anyconnect mtu 1171
anyconnect keep-installer installed
anyconnect ssl rekey time 30
anyconnect ssl rekey method ssl
anyconnect modules value dart,vpngina
anyconnect profiles value ACCP-GP-AAA type user
anyconnect ask enable default anyconnect timeout 10
tunnel-group TG-AAA type remote-access
tunnel-group TG-AAA general-attributes
authentication-server-group RADIUS
default-group-policy GP-AAA
dhcp-server 10.254.34.2
dhcp-server 10.254.34.3
tunnel-group TG-AAA webvpn-attributes
group-alias login enable
group-url https://vpn.mydomain.com/login enable
group-url https://vpn1.mydomain.com/login enable
group-url https://vpn2.mydomain.com/login enable
group-url https://vpn3.mydomain.com/login enable
group-url https://vpn4.mydomain.com/login enable
tunnel-group TG-CERT-SUB1 type remote-access
tunnel-group TG-CERT-SUB1 general-attributes
default-group-policy GP-CERT-SUB1
dhcp-server 10.254.34.2
dhcp-server 10.254.34.3
tunnel-group TG-CERT-SUB1 webvpn-attributes
authentication certificate
group-alias cert disable
group-url https://vpn.mydomain.com/cert enable
group-url https://vpn1.mydomain.com/cert enable
group-url https://vpn2.mydomain.com/cert enable
group-url https://vpn3.mydomain.com/cert enable
group-url https://vpn4.mydomain.com/cert enable
tunnel-group TG-CERT-SUB2 type remote-access
tunnel-group TG-CERT-SUB2 general-attributes
default-group-policy GP-CERT-SUB2
dhcp-server 10.254.34.2
dhcp-server 10.254.34.3
tunnel-group TG-CERT-SUB2 webvpn-attributes
authentication certificate
tunnel-group-map default-group TG-CERT-SUB1
!
- crypto ca trustpoint TRUSTPOINT-USER - Trustpoint используется для аутентификации пользователя SSL VPN;
- crypto ca trustpoint TRUSTPOINT-ASA - Trustpoint используется для аутентификации ASA и шифрования SSL VPN;
- certificate-group-map CMAP-DC-SUB1 10 TG-CERT-SUB1 (CMAP-DC-SUB2 10 TG-CERT-SUB2) - автоматическое назначение Tunnel-Group в зависимости от сертификата пользователя.
- reactivation-mode depletion deadtime 3 - в случае недоступности серверов (ASA отмечает их как 'inactive'), эта команда задает режим "восстановления" серверов (автоматического перевода в 'active'): 'depletion' - переводить в по-очереди сервера в состояние 'active', только после того как все сервера в группе будут в состоянии 'inactive'; 'deadtime 3' - время (в мин.), которое должно пройти с момента перехода всех серверов в группе в состояние 'inactive', до начала их восстановления (по-умолчанию - 10 мин.).
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Последнее редактирование: 7 года 2 мес. назад пользователем TOLLIFi.
Пожалуйста Войти , чтобы присоединиться к беседе.
8 года 3 мес. назад - 8 года 3 мес. назад #181
от PNV
PNV ответил в теме ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров
Некоторые дополнения:
1) Чтобы ASA пропускала трафик для VPN-клиентов, необходимо добавить строчку:
2) Для тех, кто не хочет заморачиваться с RADIUS и сертификатами, а просто хочет быстро настроить VPN автономно на ASA c локальными учетными записями.
Добавляем локальный dhcp-pool и локальную аутентификацию пользователей:
Добавляем локальных пользователей:
Таким образом остальные строчки конфига, касаемо сертификатов и RADIUS, можно не прописывать.
1) Чтобы ASA пропускала трафик для VPN-клиентов, необходимо добавить строчку:
sysopt connection permit-vpn
2) Для тех, кто не хочет заморачиваться с RADIUS и сертификатами, а просто хочет быстро настроить VPN автономно на ASA c локальными учетными записями.
Добавляем локальный dhcp-pool и локальную аутентификацию пользователей:
ip local pool VPN-Pool 10.0.1.50-10.0.1.100 mask 255.255.255.0
tunnel-group Users general-attributes
address-pool VPN-Pool
authentication-server-group LOCAL
Добавляем локальных пользователей:
username user1 password VLdw5DfLq7Y43VOx encrypted privilege 0
username user1 attributes
service-type remote-access
username user2 password Yukhui5DfLq7Y43dwd encrypted privilege 0
username user2 attributes
service-type remote-access
Таким образом остальные строчки конфига, касаемо сертификатов и RADIUS, можно не прописывать.
Последнее редактирование: 8 года 3 мес. назад пользователем PNV.
Пожалуйста Войти , чтобы присоединиться к беседе.
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров