www.SAMURAJ-cz.com 

15.12.2017 Radana a Radan Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

VPN 6 - Konfigurace SSL Remote Access VPN na Cisco ASA

Neděle, 09.03.2014 16:08 | Samuraj - Petr Bouška |
Cisco již v podstatě nepodporuje klasickou IPsec VPN pro vzdálené připojení uživatelů (a klienta VPN Client). Místo toho používá nového klienta AnyConnect a k němu (moderní) SSL VPN nebo IPsec IKEv2. V tomto článku se podíváme na princip SSL VPN v podání firmy Cisco a ukážeme si konfiguraci pomocí ASDM.

Co budeme nastavovat

Naším cílem je vytvořit plný přístup do privátní firemní sítě pomocí Remote Access full-tunnel Secure Sockets Layer (SSL) Virtual Private Network (VPN), jednoduše řešeno SSL VPN. Využijeme Cisco Adaptive Security Appliance (ASA). Téměř celou konfiguraci budeme provádět pomocí Java aplikace Cisco Adaptive Security Device Manager (ASDM).

Pozn.: Popis vychází z Cisco ASA 5510 verze 8.4(1) a ASDM verze 7.1(5)100. U novější verze ASA by měla být konfigurace shodná, u starší může být rozdíl, protože postupem času byly doplňovány různé funkce.

Jako klienta využijeme Cisco AnyConnect Secure Mobility Client, který je v současnosti v poslední verzi 3.1.05152. Klient se původně jmenoval SSL VPN Client (SVC) a v řadě událostí a chybových hlášení ještě narazíme na použití zkratky SVC. Forma názvu s použitím AnyConnect prošla také řadou změn. Informace o klientovi nalezneme v popisu Cisco AnyConnect Secure Mobility Client Data Sheet.

Cisco AnyConnect Secure Mobility Client

Cisco má v současnosti také mobilního klienta pro Apple iOS Cisco AnyConnect a vybrané telefony s Google Android Samsung AnyConnect (na Google Play nalezneme více aplikací pro různá zařízení).

Samsung AnyConnect klient

Jedna z vlastností SSL VPN je, že je zde možnost připojit se na webový portál a na něm se automaticky provede instalace AnyConnect klienta, jeho nastavení a připojení do VPN. Detekce a instalace se provádí pomocí ActiveX nebo Java.

Instalace AnyConnect klienta z webu

V tomto popisu budeme uvažovat, že uživatele, kteří se budou připojovat do VPN, máme spravovány v adresáři MS Active Directory. Pro autentizaci využijeme RADIUS server, který má důležitou vlastnost předávat parametr Group Policy, stejně jako v minulých dílech. Ale není problém použít jinou AAA skupinu.

Licencování

Licencování na Cisco ASA bych popsal tak, že se licencuje úplně vše. Na aktuální licence se můžeme podívat pomocí ASDM Configuration > Device Management > Licensing > Activation Key nebo pomocí CLI příkazu show version.

Nebudeme zde rozebírat licence detailně a podíváme se na ty, které nás hlavně zajímají. Pro více informací doporučuji třeba článek Cisco ASA Licensing Quick Reference Guide nebo Managing Feature Licenses for Cisco ASA Version 9.1.

Automaticky máme na ASA licence pro IPsec, nazvané Other VPN Peers. Ty pokrývají Remote Access IPsec VPN s IKEv1 a Site to Site IPsec VPN IKEv1 a IKEv2. Pro SSL potřebujeme AnyConnect Essentials nebo AnyConnect Premium, obě pokrývají Remote Access SSL VPN a Remote Access IPsec VPN s IKEv2.

Dále se licencuje připojení speciálních zařízení, jako je Cisco telefon nebo mobilní klient (iOS, Android). Tuto funkcionalitu licencí pouze povolíme a dále se spotřebovávají AnyConnect licence. Takže pro mobilní klienty potřebujeme Cisco AnyConnect Mobile License (L-ASA-AC-M-55xx=), která naštěstí stojí pouze pár tisíc korun.

Důležitý je rozdíl mezi AnyConnect Essentials a AnyConnect Premium. Licence Essentials (L-ASA-AC-E-55xx=) jsou poměrně levné a kupujeme je pro maximální počet připojení (Total VPN Peers) za pár tisíc korun. Oproti tomu Premium (L-ASA-SSL-yy=) stojí jedna licence více než tisíc korun a kupujeme určitý počet (licence nejsou aditivní a pro rozšíření počtu klientů musíme koupit speciální upgrade licenci). Premium nám hlavně přidává možnost Clientless SSL VPN a Cisco Secure Desktop (což obsahuje i Host Scan - kontrolu klienta před připojením).

Komplikace je, že licence Essentials a Premium nemůžeme využívat současně. Sice mohou být instalovány obě, ale funkční bude defaultně AnyConnect Essentials, můžeme ji vypnout a tím aktivovat AnyConnect Premium.

ASA(config-webvpn)# no anyconnect-essentials

Nebo opět zapnout.

ASA(config-webvpn)# anyconnect-essentials

Volbu můžeme nastavit i pomocí ASDM v Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Essentials. CLI příkaz i položku v ASDM můžeme použít pouze, pokud máme instalované AnyConnect Essentials licence. Podrobnější popis je třeba v článku Understanding Cisco ASA AnyConnect Licensing.

Problém s přepnutím licence

V praxi jsem narazil na zajímavou situaci. Na ASA jsem měl jak Essentials licenci (neaktivní), tak Premium. Využíval jsem různé typy VPN včetně Clientless. Přidal jsem novou licenci, které rozšířila počet Premium uživatelů. Po čase chtěl někdo využít Clientless VPN, ale dostal chybovou zprávu, že VPN přístup není povolen. Stejně tak v logu ASA bylo, že SVC not enabled for the user. Chvíli mi trvalo zjistit, že při přidání nové Premium licence, se opět aktivoval režim AnyConnect Essentials a bylo nutno jej přepnout.

Clientless SSL VPN problém s licencí

Z čeho se skládá konfigurace SSL VPN na Cisco ASA

Abychom mohli konfigurovat SSL VPN, tak potřebujeme Cisco ASA Appliance s potřebnou licencí, SSL certifikát, provést základní konfiguraci ASA (stručně zmíněno v VPN 2 - Úvod do Cisco ASA a možnosti VPN), konfiguraci komunikací ASA (interface, NAT, apod., zmíněno v VPN 3 - Konfigurace IPsec Remote Access VPN na Cisco ASA - Konfigurace ASA zařízení) a vlastní konfiguraci SSL VPN na ASA.

Dokumentace

Dokumentů o nastavení SSL VPN na ASA nalezneme na internetu celou řadu. Oficiální materiály shrnuje adresa Cisco ASA 5510 Adaptive Security Appliance a přímo naší problematiky se týká příručka Cisco ASA 5500 SSL VPN Deployment Guide, Version 8.x nebo Book 3: Cisco ASA Series VPN ASDM Configuration Guide 7.1 - General VPN Setup. Můžeme se podívat i na jednoduchý video návod Cisco ASA AnyConnect Remote Access VPN Configuration: Cisco ASA Training 101.

Nedávno mne kamarád upozornil na zajímavé Cisco dokumenty, o kterých jsem již dříve slyšel, ale nikdy se na ně nepodíval. Jde o starší Design Zone for Smart Business Architecture (SBA) a novější Cisco Validated Design Program (CVD). Pro konfiguraci SSL VPN je zde dokument Remote Access VPN - technology design guide. Je to velmi podrobně popsaný příklad konfigurace. Není zde sice moc vysvětlování, ale jako návod pro konfiguraci to není špatné.

SSL vs. DTLS

Cisco SSL VPN standardně využívá SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security), které běží nad TCP (Transmission Control Protocol). Přesný protokol se vyjedná dle nastavení serveru a možností klienta. Můžeme také povolit použití Datagram Transport Layer Security (DTLS), které běží nad UDP (User Datagram Protocol). DTLS je založeno na TLS a má lepší vlastnosti hlavně pro aplikace, které jsou citlivé na zpoždění (jako je hlas a video).

Hlavní části konfigurace

Konfigurace SSL VPN na Cisco ASA má základní princip podobný jako IPsec VPN. Ale oblast nastavení zabezpečení, tedy SSL vs. IPsec, je výrazně jednodušší. Část nastavení koresponduje s Clientless SSL VPN a také se vzájemně ovlivňuje. Různé související informace nalezneme v předchozích dílech tohoto seriálu, ale vše podstatné jsem se pokusil shrnout zde.

Na ASA můžeme zároveň vytvořit všechny tři typy VPN a buď je rozlišit pro různé uživatele pomocí různých Connection Profiles a Group Policies. Nebo povolit všechny dohromady. Pokud je na Connection Profile povolena Clientless VPN i SSL VPN, tak se po připojení k webové stránce zobrazí portál, který má jednu novou položku AnyConnect - Start AnyConnect. Pokud máme povolenu pouze SSL VPN, tak můžeme také využít portálovou stránku (nebo rovnou přistoupit klientem), ale tam se rovnou spustí webový průvodce instalace klienta.

Hlavní části konfigurace SSL VPN:

  • AnyConnect Connection Profiles (dříve Tunnel Group) - profil - definuje klíčové hodnoty pro vytvoření session, jako je autentizace (můžeme řešit i authorization a accounting), přiřazení IP adres (Address Pool), nastavujeme defaultní Group Policy, povolujeme použití protokolu SSL, IPsec(IKEv2), přiřazujeme DNS servery, nastavujeme Connection Alias a Group URL
  • Group Policies - politika - určuje vlastnosti síťového přístupu po připojení do VPN a obsahuje autorizační atributy, tedy omezujeme a řídíme přístup klienta, nastavujeme povolené protokoly (SSL, IPsec IKEv2, IPsec IKEv1, L2TP/IPsec, Clientless SSL), můžeme přidat uvítací Banner, můžeme nastavit přiřazení adres (Address Pool), aplikovat ACL (filtrování přístupu), omezení přístupu (do určitých VLAN, podle času, NAC Policy, maximální čas připojení, neaktivity), použití pouze s určitým Connection Profile, přiřazení DNS serverů, Split Tunneling, nastavení AnyConnect klienta (povolení DTLS, SSL komprese, přiřazení Client Profile, MTU, keepalive, chování portálové stránky, nastavení FW, atd.)
  • AnyConnect Client Profile - klientské profily (xml soubory), které se stahují po připojení do VPN a konfigurují vlastnosti klienta (nastavujeme chování a jestli jej uživatel může změnit), spojujeme s Group Policy
  • AnyConnect Client Software - volitelná funkce, která umožní instalaci klientů přes web, zde pouze přidáváme balíčky klienta pro různé OS
  • AnyConnect Customization/Localization - volitelně můžeme upravit klienta, například přidat logo firmy nebo vytvořit vlastní překlad
ASDM - SSL Remote Access VPN

Průběh navázání SSL VPN

Pokud použijeme k navázání SSL VPN aplikaci AnyConnect, tak se navazuje více session:

  • nejprve Parent-Session (Parent-Tunnel), to je hlavní session, kde proběhne autentizace, využije se i pro reconnect, pokud se připojujeme do Clientless VPN, tak se jmenuje WebVPN-Session
  • následně se naváže SSL-Tunnel - tato session se používá pro přenos dat, podle nastavení se může pokusit navázat DTLS
  • volitelně se naváže DTLS-Tunnel - pokud se naváže, tak se data posílají tímto kanálem místo SSL

Jediné informace, které jsem k této problematice nalezl, je AnyConnect FAQ: Tunnels, Reconnect Behavior, and the Inactivity Timer.

Průběh navazování spojení (dvou session) je zhruba následující:

  • Connection Profile buď volíme na přihlašovacím dialogu, nebo se použije defaultní DefaultWEBVPNGroup
  • start SSL handshake > navázání SSL session
  • AAA uživatelská autentizace, například RADIUS - umožní nastavit uživatelské atributy, jako je Group Policy
  • volí se použitá Dynamic Access Policy (DAP), standardně se použije DfltAccessPolicy, aplikuje se Group Policy
  • tímto se navázala Parent-Session a pokračuje se navázáním datové session
  • proběhne přirazení adresy (IP Address Assignment - IPAA) dle nastavení zvoleného Connection Profile (tunnel-group) či jinde
  • aplikuje se Group Policy a Dynamic Access Policy
  • je navázána SVC session (SSL VPN Client) a přiřazena IP adresa do session

Přiřazení profilu (Connection Profile)

Connection Profile je hlavní objekt, který zastřešuje celé VPN připojení. K němu je přiřazena Group Policy a na ní navázány další vlastnosti. V podstatě znám pouze dvě možnosti, jak můžeme při připojení do SSL VPN volit Connection Profile. A to tak, že uživateli nabídneme volbu profilu při přihlašování (a nic mu nezabrání vybrat libovolný z nabízených). V konfiguraci AnyConnect Connection Profiles povolíme volbu

Allow user to select connection profile on the login page.

U profilů, které chceme nabízet, nastavíme Connection Alias (Group Alias) a to jsou pak položky, které volíme při přihlašování.

AnyConnect Connection Profiles

Alternativně (nebo společně) můžeme pro některé profily nastavit Group URL. To je adresa, kterou můžeme poskytnout uživatelům a automaticky se použije daný profil (i když je povolen výběr, tak se nenabízí seznam profilů, a výběr být povolen nemusí). Tuto adresu můžeme použít v prohlížeči (přístup přes portál) nebo v klientovi.

Connection Profile - Group Alias / Group URL

Patrně jediná další možnost je, že nemáme povolen výběr profilu, a automaticky se použije defaultní profil DefaultWEBVPNGroup. Jelikož většinu vlastností můžeme přepsat pomocí Group Policy a tu nemusíme volit z profilu (viz. další kapitola), tak se většinou můžeme spokojit s defaultním profilem. Asi jediné omezení je, že na profilu volíme způsob autentizace, takže při společném profilu nemůžeme mít různé typy přihlašování (jako třeba RADIUS a lokální uživatele).

Přiřazení politiky (Group Policy)

Téměř všechny parametry připojení a vlastního spojení můžeme řídit pomocí Group Policy (včetně povolení se připojit). Takže je zásadní, jak se k navazovanému spojení přiřadí politika. Group Policy můžeme přiřadit z Connection Profile nebo ji přiřadit uživateli. Lokální uživatelé na ASA mají přímo v parametrech volbu politiky. Při využití externí autentizace můžeme předávat údaj o politice. Například u RADIUS serveru jde o využití atributu 25, stručný popis je VPN 4 - Konfigurace Cisco Clientless SSL VPN na Cisco ASA - Různé politiky pro uživatele z RADIUS serveru. U LDAP serveru můžeme mapovat určité LDAP atributy na authorization attributes (včetně přiřazení politiky).

Pokud se rozhodneme využívat přiřazování politik a tak bezpečně řídit přístup do VPN (třeba pomocí zařazení uživatele do skupiny v AD a předání parametru z RADIUS serveru), tak musíme dobře nastavit i defaultní politiku DfltGrpPolicy. Pokud se uživateli nepřiřadí jiná politika, tak se může aplikovat defaultní. Tím by mohl získat přístup do VPN i uživatel, kterému jsme jej nechtěli dát. Parametry v defaultní politice se také dědí do ostatních politik (tam kde zvolíme Inherit).

Pro nastavování jednotlivých user authorization attributes (dvojice atribut a hodnota - jsou obsahem Group Policy), také můžeme použít Dynamic Access Policy (DAP). Můžeme porovnat různá kritéria během navazování session a podle nich nastavit hodnoty.

Protože je několik míst odkud se nastaví politika nebo rovnou některé atributy, tak je důležité pořadí vyhodnocování (Policy Enforcement). Nastavení z různých míst se spojují, pokud dojde ke konfliktu, tak novější přepisují starší.

  1. defaultní Group Policy (DfltGrpPolicy) - globální nastavení pro všechny
  2. Group Policy přiřazená z Connection Profile - politika dle profilu připojení
  3. Group Policy přiřazená uživateli - například z RADIUS serveru
  4. uživatelské atributy z AAA serveru - po autentizaci uživatele se mohou přijmout hodnoty z RADIUS či LDAP serveru
  5. Dynamic Access Policy - má nejvyšší prioritu, co se nastaví zde, vyhrává

Postup konfigurace SSL VPN prakticky

Neměl jsem k dispozici čistou ASA, ale použil jsem takovou, kde již byla hotová konfigurace z předchozích dílů seriálu (IPsec a Clientless SSL VPN). Proto jsem nemusel provádět všechny kroky, přesto se je zde pokusím zmínit a doufám, že něco neopomenu.

Na začátku je dobré si nakreslit schéma s použitými adresami a rozsahy. Například si musíme připravit (rozmyslet) subnet, z kterého budou dostávat adresy VPN klienti. Zapojení je stejné jako v předchozích dílech.

Schéma IPsec VPN sítě

Pozn.: V dalším popisu vždy uvádím cestu v rámci ASDM, kde se nachází konfigurace aktuální vlastnosti. Řadu drobných konfigurací (jako je třeba Pool adres) můžeme vyvolat z konfigurace nadřazené funkce (pro adresy třeba Connection Profile).

1. Konfigurace ASA zařízení

Konfiguraci ASA z pohledu komunikací jsem popsal v článku VPN 3 - Konfigurace IPsec Remote Access VPN na Cisco ASA - Konfigurace ASA zařízení a s tímto nastavením mi fungovala i SSL VPN. Zde uvedu znovu a některé věci trochu jinak, doufám, že také správně.

Configuration > Device Setup > Device Name/Password

Hostname: ASA, domain: firma.local, heslo do privilegovaného módu.

Configuration > Device Setup > Interfaces

Security level - 0 (nejnižší) až 100 (vnitřní síť), rozděluje sítě, standardně nelze komunikovat z nižšího do vyššího, ale naopak ano. Interfacům přiřadíme názvy, které se budou dále používat.

Ethernet0/0, jméno outside, security level 0, IP 86.55.13.15/24
Ethernet0/1, jméno inside, security level 100, IP 10.240.0.1/24
Management0/0, jméno management, IP 192.168.1.1/24

Můžeme zvážit povolení dvou položek dole na stránce:

Enable traffic between two or more interfaces which are configured with same security levels
Enable traffic between two or more hosts connected to the same interface

Configuration > Device Setup > Routing > Static Routes

Přidáme default GW pro klienty (jak se VPN klienti připojují z internetu, aby se jim mohla vrátit odpověď).

outside, any, 86.55.13.254, 1

Přidáme default GW pro klienty uvnitř VPN (když mají IP z tohoto rozsahu, aby se dostali do interní sítě).

inside, any, 10.240.0.254, 255, Tunneled

Případně ještě musíme přidat routu pro přístup na RADIUS servery (a další jako Syslog, NTP).

Configuration > Device Setup > System Time > NTP a Clock

Nastavení NTP serveru a time zone.

Configuration > Device Management > Logging > Logging Setup

Je dobré zapnout logování (Enable logging) a případně více nastavit.

Configuration > Device Management > DHCP > DHCP Server

Defaultně je na management interface zapnutý DHCP, pokud jej nepotřebujeme tak vypneme. V našem případě využíváme ASA DHCP pouze pro klienty uvnitř VPN, takže zde nemusí být zapnuté.

Configuration > Firewall > Access Rules

Pouze pro informaci, nemusíme zde nic měnit. Dole na stránce zvolíme IPv4 Only. V sekci Global jsou pravidla, která platí všude, defaultně je zde poslední deny any any. Na inside interface máme implicitní pravidlo povolující komunikaci do sítí s nižším zabezpečením (security level).

Configuration > Firewall > NAT Rules

NAT na Cisco zařízeních je disciplína sama o sobě, popis je třeba u Cisca v článku Information About NAT. Pokud máme na ASA zapnutý překlad adres (pokud využíváme pouze funkce VPN, tak jej mít zapnutý nemusíme), tak musíme nastavit vyjímku, aby se nenatoval VPN provoz.

  • z inside do oudside, z any do VPN_subnet, oba směry, static NAT - příkaz pro CLI nat (inside,outside) source static any any destination static VPN_Subnet VPN_Subnet

Network Objects - při nastavování NATu vytvoříme objekt:

  • VPN_subnet - 10.240.0.0/24

Pozn.: Nahoře v menu můžeme využít tlačítko Diagram, které hrubě naznačí schéma určitého pravidla, nebo Packet Trace, který simuluje komunikaci.

2. Konfigurace SSL VPN

Mohli bychom pro nastavení využít průvodce v menu Wizards - VPN Wizards - AnyConnect VPN Wizard, ale já preferuji ruční nastavení, kdy mám přehled, co a kde nastavuji. Ono se to zas moc od průvodce neliší a ten nám stejně nenastaví vše.

Konfigurace stručně

  • zvolit VPN protokol, jeho parametry a certifikát
  • přidat image VPN klienta (AnyConnect)
  • nastavit autentizaci (AAA server group)
  • vytvořit rozsah adres pro VPN
  • nastavit DHCP pro remote clients
  • nastavit DNS servery, NAT
  • nastavit AnyConnect Client Profile
  • vytvořit Group Policy
  • vytvořit Connection Profile

Configuration > Remote Access VPN > Certificate Management > CA Certificates

Nainstalujeme certifikát certifikační autority (CA), od které máme certifikát pro ASA (pro SSL VPN), soubor typu cer.

Configuration > Remote Access VPN > Certificate Management

Nainstalujeme certifikát pro ASA a SSL VPN (s privátním klíčem, soubor typu pfx).

Menu Tools > File Management

Nahrajeme (nebo zkontrolujeme, že existuje) AnyConnect image pro instalaci z webu (AnyConnect web deployment packages - PKG files). Pro Windows je v současnosti poslední anyconnect-win-3.1.05152-k9.pkg

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Software

Přidáme jeden nebo více obrazů klienta (AnyConnect image), které jsme nahráli v předchozím kroku. Vytváří se pouze záznam, že se daný image může použít.

Configuration > Remote Access VPN > AAA/Local Users > AAA Server Groups

Připravíme si AAA Server Group pro autentizaci, například RADIUS a vložíme do ní adresu.

Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools

Připravíme si rozsah adres pro přidělování klientům v rámci VPN, VPN_Pool - 10.240.0.10010.240.0.200.

Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Assignment Policy

Zkontrolujeme, že máme zatrženo (pouze) Use internal address pools.

Configuration > Remote Access VPN > DNS

Zadáme DNS servery a interní doménu.

Configuration > Remote Access VPN > Advanced > SSL Settings

Přidáme povolené algoritmy pro šifrování (třeba jen AES a 3DES), můžeme vyžadovat TLSv1 pro server. Vidíme zde i certifikáty přiřazené na jednotlivé interface.

Configuration > Remote Access VPN > Network (Client) Access > Group Policies

O politikách jsme již mluvili. Nyní potřebujeme nějakou, kterou budeme používat pro naše připojení. Vytvořit můžeme jednu nebo více (a podle toho řídit vlastnosti) nebo využít defaultní DfltGrpPolicy. V našem příkladu vytvoříme novou politiku AnyConnect_group a téměř všechny hodnoty necháme Iherited z defaultní politiky. Pouze v záložce General rozklikneme More Options a v tunneling protocols zaškrtneme SSL VPN Client (ona by se tato volba měla později sama zaškrtnou, při přiřazení politiky k profilu, ale jistější je nastavit ručně).

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile

Přidáme nový profil pro připojování, třeba Client_profile. Zvolíme Edit, přepneme se na Server List a přidáme nový server (je striktně doporučováno mít definovaný alespoň jeden server, adresa se používá pro párování session). Vyplníme buď pouze Host Display Name, v tom případě zadáme DNS adresu VPN připojení (FQDN, případně IP), třeba vpn.firma.cz. Nebo zadáme do Host Display Name alias, pod kterým bude vidět v připojení klienta, níže zadáme FQDN or IP Address. Ukončíme editaci, označíme profil a klikneme na Change Group Policy a přiřadíme jednu nebo více politik (tedy AnyConnect_group), které mají tento profil využívat.

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles

Nahoře na stránce povolíme použití SSL VPN tím, že zatrhneme Enable Cisco AnyConnect VPN Client Access on the Interfaces Selected in the Table Below. Potom povolíme SSL Access pro určitý interface. Náš se jmenuje outside. Allow Access využívá HTTPS protokol, Enable DTLS navíc povolí protokol DTLS.

Pokud chceme využít jiný než defaultní profil DefaultWEBVPNGroup, tak musíme na stránce povolit nastavení, které dovolí profil vybírat. Ve výběru se objeví pouze profily, u kterých je nastavená hodnota Aliases. Samozřejmě je ještě možnost využívat Group URL, vše jsme popsali v předchozích odstavcích.

Allow user to select connection profile on the login page.

Vytvoříme nový profil nebo nastavíme defaultní DefaultWEBVPNGroup. Na profilu nastavíme:

  • Method: AAA
  • AAA Server Group: naše AAA skupina
  • Client Address Pools: VPN_Pool
  • Default Group Policy: AnyConnect_group
  • zatrhneme Enable SSL VPN client protocol

Pokud chceme povolit výběr profilu nebo připojovací adresu, tak se přepneme na záložku Advanced > Group Alias/Group URL a přidáme Alias, třeba AnyConnect, a Group URL, třeba https://vpn.firma.cz/AnyConnect.

Pokud používáme pro autentizaci RADIUS a na něm protokol MS-CHAPv2, tak musíme na ASA povolit správu hesel (jinak neprojde autentizace a dostaneme Login failed.). Podrobněji je popsáno v článku o IPsec VPN, kde bylo nastavení uvedeno pomocí CLI. V aktuální verzi ASDM můžeme provést rovnou na profilu, přepneme se na záložku Advanced > General a zaškrtneme Enable password management.

sysopt connection permit-vpn

Když jsem studoval informace o nastavování SSL VPN, tak jsem také narazil na zmínku, že je někdy potřeba použít výše uvedený příkaz. Tento příkaz by měl být defaultně zapnutý a má zajistit, že VPN provoz obejde ACL na interface. Více informací u Cisca Verify that sysopt Commands are Present (PIX/ASA Only). Zjištění, jestli je příkaz nastaven

ASA# show running-config all sysopt
sysopt connection permit-vpn

Chyba No address available for SVC connection

V řádě případů se může objevit tato chyba po připojení do VPN pomocí AnyConnect klienta. Chyba nastává ve chvíli, kdy již úspěšně došlo k autentizaci a má se klientovi přidělit IP adresa z VPN rozsahu. Možné příčiny:

  • Nemáme nastaven rozsah adrese nebo povoleno přidělování
  • Počítáme, že klient použije určitý AnyConnect Connection Profiles, který jsme nastavili, ale ve skutečnosti se použil defaultní DefaultWEBVPNGroup, kde nemáme nastaveno přidělování adres. To může být způsobeno tím, že nemáme nastaveno Allow user to select connection profile on the login page.
AnyConnect Client error
zobrazeno: 8673krát | Komentáře [4]

Autor:

Související články:

Cisco VPN - Virtual Private Network

Série článků, která začíná obecným popisem technologie VPN a rozebírá jednotlivé typy VPN. Dále se řeší různé konfigurace VPN na zařízeních Cisco, primárně na Cisco ASA.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] Vítek

    Docela palba ;-)

    Pondělí, 10.03.2014 21:09 | odpovědět
  2. [2] warr

    Connection Profile lze jeste pridelovat zde Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect and Clientless SSL VPN Connection Profile Maps

    Středa, 21.05.2014 13:58 | odpovědět
  3. [3] Samuraj

    odpověď na [2]warr: Ano, tuto možnost popisuji v jiném díle. Znamená to ale autentizaci certifikátem, které se v tomto díle nevěnujeme.

    Středa, 21.05.2014 14:22 | odpovědět
  4. [4] Petr

    na tabletu mi to píše - Nastavení konfigurace systému nelze použít. Připojení VPN nebude vytvořeno.

    Tablet má Android 4.1.1 a nejde mi to rozchodit, na telefonu s Androidem 4.0.1 mi to běhá v pořádku, nevíte kde je chyba???

    Děkuji předem

    Středa, 13.08.2014 08:18 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách