Экспресс настройка AnyConnect VPN на Cisco ASA
Vložit
- čas přidán 18. 09. 2017
- Простая пошаговая настройка Cisco AnyConnect VPN на ASA с нуля через графический интерфейс ASDM.
Типовая конфигурация AnyConnect для организации безопасного удаленного доступа в корпоративную сеть через Интернет.
Из серии практических видео уроков для сетевых и системных администраторов.
Спасибо большое! Будем пробовать настраивать)
Огромное спасибо, благодаря Вашему мануалу смог восстановить некогда настроенный (не мной) vpn туннель
Очень рад, что смог помочь. В ближайших планах по Anyconnect c ASA будут еще видео по использованию сертификатов, 2-х факторной аутентификации и динамических политик доступа DAP. С лабораторными работами в EVE-NG.
Алексей, подскажите пожалуйста в чем может быть причина. Сделал вроде как все по вашему видео, но не подключается по созданному пользователю ra-user, только под локальным админом. Проверил конфигурацию, пользователь создался, все нормально.
Родион, не видя конфигов, сложно что то сказать. Хочу лишь обратить внимание, что ra-user это обычный пользователь, для входа в сеть но не для доступа к самой асе. У пользователя же админ, другой уровень доступа (priv 15).
Вы всегда можете поэксперементировать с различными опциями в виртуальной лаборатории learncisco.ru/eve/online-lab.html
Спасибо огромное за видео урок! Единственное, что я иначе сделал - это 8 шаг - Nat Exempt с секции Local Network выбрал сеть предприятия, а не any4. Может, это ошибка? Всё остальное сделал, как на видео. Антивирусы и брандмауэры на всякий случай отключил. IP адрес удалённого роутера отображается в мониторинге ASDM, не не пингуется. В сессиях удалёное подключение есть. Так же, не могу пинговать с удалённого компьютера ни один компьютер в корпоративной сети. В чём может быть проблема? :( P.S. В AnyConnect IP - адрес присвоен, сервер есть, защищённые маршруты есть. Вроде, всё хорошо, но пинга нет ни в одну сторону, ни в другую :( Такое ощущение, что каких-то access-листов не хватает........
Андрей, по признакам очень похоже на неправильную настройку NAT Exemption. Исключать из трансляции надо трафик, который должен пойти в шифрованные туннели. В частности, адреса IP пула, из которого выдаются IP-шники AnyConnect клиентам. Иначе обратный трафик просто улетит в публичный Интернет, а не к удаленным компьютерам и никакие пинги ходить не будут.
Спасибо за гайд.
Ани коннект подключается всё ок, адрес присваивается, в инет ходит через шлюз предприятия - но проблемка следующая - не видно локальную сеть предприятия... соответсвенно днсы не обрабатываются, и даже пингов по ip нет... незнаю куда копать... (ACL на вн. сеть сделал если что)
Дмитрий, здравствуйте!
Я бы начал с таблицы маршрутов на ASA. Убедился, что после подключения там появляется IP адрес удаленного клиента и присутствуют маршруты ко всем подсетям предприятия. Еще было бы полезно убедиться что устройства локальной сети предприятия могут пинговать AnyConnect клиента (при выключенном firewall на нем, или с исключениями для ICMP). Если я правильно понял, то на AnyConnect Вы заворачиваете абсолютно весь трафик в Интернет, не только к подсетям предприятия (без split-tunnel)?
@@MrLearnCisco клиент аниконекта на асе отображается что подключен... маршруты стоят вообще без ограничений source any - destination any... пробовал завроачивать весь, ставил как у вас split, фаерволы отключил... вобщем бяда =(
День добрый!
не понял , откуда взялся файл .pkg и где его брать?
Александр, здравствуйте!
Это часть пакета AnyConnect, все доступно для скачивания с software.cisco.com при наличии аккаунта и оплаченного сервисного пакета.
Спасибо!
Приветствую. невозможно запустить это приложение на вашем пк windows 10. Выскакует ошибка при запуске ASDM. Подскажите что делать?
Привет! Обычно большинство ошибок связано с Java. Если укажете, что именно за ошибка, ее текст, то есть вероятность подсказать что-нибудь конкретное :)
А есть ли возможность настроить так что бы определенному пользователю всегда выдавался один и тот же ip-адрес ?
Дв, можно и постоянный IP и индивидуальные ACL и многое другое через внешний RADIUS сервер (Cisco ACS, ISE).
А без поднятия внешнего RADIUS сервера ?
В принципе, тоже можно, через атрибуты пользовалеля, например
ASA(config)# username test attributes
ASA(config-username)# vpn-framed-ip-address 10.1.1.1 255.255.255.0
пробовал, не прокатывает (
Если авторизация идет по локальной базе пользователей, то должно работать. Но все надо тестировать и отлаживать, например с помощью debug. Возможны нюансы.