ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров

Больше
5 года 10 мес. назад - 3 года 3 мес. назад #118 от TOLLIFi
TOLLIFi создал эту тему: ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервировани
В данной теме будет рассмотрен вопрос организации Remote Access VPN (на клиенте AnyConnect и сетевом оборудовании Cisco ASA) с параллельным подключением через несколько провайдеров (ISP), а также приведены основные настройки конфигурации и профилей для VPN клиентов (AnyConnect Client Profile, ACCP). Для SSL при таком подключении может понадобиться сертификат UCC/SAN, описание и процедура установки которого приведена в статье Cisco + OpenSSL Windows: установка мульти-доменных сертификатов UCC/SAN (Subject Alternative Name) .

Схема сети:

Основные элементы сети и их назначение:


- NAT extended (Cisco 1811) - маршрутизатор, имеющий доступ в Интернет сразу через несколько провайдеров и выступающий в качестве шлюза по-умолчанию для ASA (поскольку в ASA можно создать лишь единственный маршрут по умолчанию, 0.0.0.0/0). Все SSL-запросы (https: //...) транслируются на ASA (стандартная трансляция адресов ip nat inside/outside, без NVI/'ip nat enable'!). Здесь подразумеваетя доступ к внутренним ресурсам из вне (для доступа внутренних пользователей в Интернет необходима дополнительная конфигурация NAT).
- AnyConnect VPN Gateway (ASA5510) - VPN-концентратор, осуществляющий подключение клиентов по следующим правилам:

шаг 1: при SSL-запросе, ASA использует сертификат TRUSTPOINT-ASA, по которому пользователь принимает решение, доверять узлу VPN или нет (обычно, при конфигурации сети 'multiple ISP', используется сертификат UCC/SAN );
шаг 2: после подтверждения клиентом сертификата узла VPN, ASA пытается аутентифицировать клиента по 'личному сертификату пользователя' с помощью сертификата CA TRUSTPOINT-USER;
шаг 2.1 (успешная аутентификация по сертификату): в зависимости от того к какому домену принадлежит сертификат пользователя (subdomain1.rus или subdomain2.rus) происходит подключение с параметрами той или иной 'tunnel-group' с назначением DNS-суффикса по-умолчанию, соответствующего личному сертификату. Далее шаг 3;
шаг 2.2 (в случае неудачной аутентификация по сертификату): ASA пытается осуществить RADIUS-аутентификацию клиента по логину и паролю, и в случае успеха подключить с параметрами 'tunnel-group' для этого способа аутентификации (AAA), назначается DNS-суффикс по-умолчанию SUBDOMAIN1.RUS. Далее шаг 3;
шаг 3: присваивается IP-адрес запрошенный с внешнего DHCP. Устанавливаются модули AnyConnect SBL ('vpngina' - Start Befor Logon, возможность подключиться к VPN-сети до входа в Windows) и AnyConnect DART ('dart' - Diagnostic AnyConnect Reporting Tool, модуль сбора диагностической информации для анализа сбоев при подключении, обычно требуется при обращении к специалистам тех.поддержки Cisco TAC). Обновляется/скачивается AnyConnect профиль (ACCP, '*.xml') для клиентского приложения, позволяющий настроить в автоматическом режиме Cisco AnyConnect Client, так как задумал администратор сети.

PrintScreen's:

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


--- ПРИМЕР КОНФИГУРАЦИИ CISCO 1811 >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


--- ПРИМЕР КОНФИГУРАЦИИ CISCO ASA >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Вложения:
Последнее редактирование: 3 года 3 мес. назад от TOLLIFi.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
4 года 4 мес. назад - 4 года 4 мес. назад #181 от PNV
PNV ответил в теме ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервировани
Некоторые дополнения:

1) Чтобы ASA пропускала трафик для VPN-клиентов, необходимо добавить строчку:
sysopt connection permit-vpn

2) Для тех, кто не хочет заморачиваться с RADIUS и сертификатами, а просто хочет быстро настроить VPN автономно на ASA c локальными учетными записями.
Добавляем локальный dhcp-pool и локальную аутентификацию пользователей:
ip local pool VPN-Pool 10.0.1.50-10.0.1.100 mask 255.255.255.0

tunnel-group Users general-attributes
 address-pool VPN-Pool
 authentication-server-group LOCAL


Добавляем локальных пользователей:
username user1 password VLdw5DfLq7Y43VOx encrypted privilege 0
username user1 attributes
 service-type remote-access
username user2 password Yukhui5DfLq7Y43dwd encrypted privilege 0
username user2 attributes
 service-type remote-access

Таким образом остальные строчки конфига, касаемо сертификатов и RADIUS, можно не прописывать.
Последнее редактирование: 4 года 4 мес. назад от PNV.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Работает на Kunena форум